新的無檔案惡意程式DarkWatchman以Windows登錄檔作為藏身之處

資安情報業者Prevailion上周揭露了一個新的無檔案惡意程式DarkWatchman，這是一個基於JavaScript的遠端存取木馬（Remote Access Trojan，RAT），研究人員發現它躲藏在Windows登錄檔（Windows Registry）中，而且很可能用來作為部署勒索軟體等其它惡意程式的跳板。

Prevailion是在今年的11月發現DarkWatchman，它透過電子郵件散布，發送郵件的伺服器位於俄羅斯，郵件本身也是以俄文撰寫，程式碼雖然是以英文撰寫，但出現部分的拼字錯誤。

圖片來源_Prevailion

當受害者感染了DarkWatchman之後，Prevailion發現它利用Windows登錄檔進行所有的臨時及永久存取，而且從不於硬碟寫入任何內容，有鑑於登錄檔的內容原本就經常變動，再加上很難辨識哪些變更是來自於正常的系統/軟體功能，又有哪些變更是受到外界干預，因此很難被察覺，也可躲過防毒軟體的偵測。

研究人員推測打造DarkWatchman的駭客，對於Windows Operating System及軟體開發有相當程度的了解。

DarkWatchman具備了大多數的RAT基本功能，像是執行EXE檔、載入DLL檔、執行命令、評估JavaScript、將檔案上傳至命令暨控制伺服器（C&C）、遠端移除RAT與鍵盤側錄程式，或是遠端更新C&C伺服器位址等，此外，它也具備進階功能，包括遠端更新該RAT及鍵盤側錄程式、在RAT啟動時設定一個自動執行的JavaScript、利用網域生成演算法來強化C&C的彈性，以及當受害者具備管理權限時，它會刪除陰影複本。

此外，分析顯示駭客的攻擊行動是有目標性的，看起來像是鎖定大型企業，由於DarkWatchman可自遠端載入其它惡意程式，使得Prevailion相信DarkWatchman只是駭客入侵組織的第一階段，將被用來部署包括勒索軟體在內等更危險的惡意程式。