駭客組織Dragon Breath透過多階段載入工具RoningLoader，意圖散布RAT木馬Gh0st RAT

為了讓攻擊活動順利進行，最近幾年駭客都會試圖癱瘓端點防毒軟體或EDR的運作，其中最常見的做法，是自行攜帶存在弱點的合法驅動程式（BYOVD），不過，現在有人直接濫用作業系統內建的防護機制，來達到目的。

近期Elastic旗下的資安實驗室指出，被稱作Dragon Breath、APT-Q-27，或是Golden Eye Dog的國家級駭客組織，近日發起最新一波攻擊活動，這些駭客疑似鎖定使用中文的用戶而來，佯稱提供Chrome與Teams等應用程式，散布內含木馬的NSIS安裝檔案，以此植入惡意程式載入工具RoningLoader，最終於受害電腦部署木馬程式Gh0st RAT的變種程式。NSIS（Nullsoft Scriptable Install System）是相當知名、老牌的安裝檔封裝工具，但近年來也出現歹徒用於攻擊活動的情況。

特別的是，在過程中，攻擊者不僅採用具備合法簽章的驅動程式，還部署Windows Defender Application Control（WDAC）政策，封鎖中國防毒軟體奇虎360安全衛士（360 Total Security）與火絨（Huorong）的執行檔。再者，他們還濫用作業系統內建的防護機制Protected Process Light（PPL），竄改Microsoft Defender的二進位檔案，這樣的手法相當罕見。

什麼是PPL？這是微軟從Windows 8.1導入的安全功能，目的是防止重要系統服務與防毒軟體使用的記憶體，被其他處理程序存取、竄改，或是終止。不過，資安研究員Zero Salarium找出濫用的方式，3個月前，他揭露能透過PPL影響端點防護系統運作的方法，並成功竄改Microsoft Defender特定檔案。Elastic推測，本次Dragon Breath疑似就是利用研究員公布的資訊來達到目的。

針對這起攻擊活動發生的過程，最初源自有問題的NSIS安裝程式，一旦使用者執行，電腦就會執行安裝檔嵌入的另外兩個安裝程式，其中一個會安裝原本攻擊者聲稱的應用程式，本身無害，疑似用來降低使用者的戒心；另一個負責執行後續的攻擊鏈。

此惡意安裝程式會建立特定資料夾，並產生DLL檔案Snieoatwtregoable.dll，以及經加密處理的PNG圖檔tp.png，接著透過DLL檔案，以結合ROR和XOR的演算法解出Shell Code，載入特定的PE檔案並於記憶體內執行RoningLoader。

此惡意程式載入工具根據處理程序列表，檢查受害電腦安裝的防毒軟體，但特別的是，他們只針對作業系統內建的Microsoft Defender，以及3款中國防毒軟體金山毒霸（Kingsoft Internet Security）、騰訊電腦管家（Tencent PC Manager），以及奇虎360安全衛士進行確認，然後終止防毒軟體的特定處理程序。

不過，對於奇虎的防毒軟體，駭客採取不同的作法，他們先更動防火牆組態，以此封鎖網路通訊，然後將Shell Code注入與磁碟區陰影複製（VSS）服務有關的服務，並解析運作所需的API，然後搭配驅動程式來終止防毒軟體運作。

攻擊者也試圖運用類似的手段，終止Microsoft Defender運作，但未能成功，他們於是利用Zero Salarium揭露的手法來達到目的，最終部署Gh0st RAT。

回顧Dragon Breath過往犯行，最早在兩年前傳出，2023年5月，資安業者Sophos揭露攻擊東南亞線上博奕玩家的資安事故，這些駭客在攻擊過程裡，運用罕見的雙重DLL側載伎倆，Sophos在臺灣、日本、新加坡，以及香港與中國，發現這起攻擊活動的受害者。