攻击者在恶意软件活动中利用C2aaS平台Dark Utilities

1. 执行摘要

• Dark Utilities于 2022 年初发布，是一个为攻击者提供全功能 C2 功能的平台。

• 它被宣传为一种在受感染系统上启用远程访问、命令执行、分布式拒绝服务（DDoS）攻击和加密货币挖掘行为的手段。

• 该平台提供的有效载荷支持Windows、Linux 和基于 Python 的实现，并托管在星际文件系统（IPFS）中，使其能够适应内容审核或执法干预。

• 自最初发布以来，作者团队已经观察到恶意软件样本在野外利用它来促成远程访问和加密货币挖掘。

2. Dark Utilities是什么？

2022年初，一个名为“Dark Utilities”的新C2平台成立，并提供远程系统访问、DDoS功能和加密货币挖掘等多种服务。该服务的操作者还建立了 Discord 和 Telegram 社区，为平台上的客户提供技术支持和帮助。

Dark Utilities 提供由在受害系统上执行的代码组成的有效载荷，允许它们向服务注册并建立命令和控制（C2）通讯渠道。该平台目前支持Windows、Linux 和基于 Python 的有效载荷，允许攻击者针对多种架构而无需大量的开发资源。在作者团队的分析过程中，他们观察到这个平台不断地有正在进行的开发活动。这个平台正在努力扩展操作系统和系统架构的支持。

该平台托管在因特网明网和Tor暗网上，以 9.99 欧元的价格售卖对该平台、相关有效载荷和 API 端点的高级访问权限。在撰写本文时，该平台已注册大约 3,000 名用户，收入约为 30,000 欧元。鉴于与其提供的功能数量比起来相对低廉的价格，该平台可能会很吸引那些试图破坏系统而不想在他们的恶意软件有效载荷中创建自己的 C2 实现的攻击者。

几乎在第一时间，作者团队观察到恶意软件样本在野外使用这种服务作为在受感染系统上建立C2通信渠道和建立远程访问功能的一种方式。作者团队已经观察到针对Windows和Linux系统的恶意软件利用了Dark Utilities。

3. Dark Utilities平台的功能

Dark Utilities 平台利用 Discord 进行用户身份验证。通过身份验证后，用户就会看到一个仪表板，其中显示了关于平台健康状态、服务器健康状态以及其他指标等各种统计数据。

要向该服务注册新的僵尸主机，必须生成有效载荷并将其部署在受害机器上。在撰写本文时，该平台支持多种操作系统，如下面的有效载荷选择下拉菜单所示。

选择一个操作系统后，平台会生成命令字符串。攻击者通常将其嵌入到 PowerShell 或 Bash 脚本中，以便于受害者机器获取和执行有效载荷。下面展示了一个针对 Windows 操作系统的有效载荷的样例。

对于基于 Linux 的有效载荷，样例命令字符串是：

最近，该平台增加了对 ARM64 和 ARMV71 等其他架构的支持。该平台将其描述为可用于针对各种嵌入式设备，如路由器、电话和物联网（IoT）设备，如下所示。

使用 IPFS 来托管有效载荷二进制文件可提供针对内容审核或删除的韧性，因为 IPFS 是一个分布式的点对点网络，明确旨在防止中央机构对托管在那里的内容采取措施。IPFS 支持使用IPFS 网关，它的操作类似于 Tor2Web 网关，它允许 Internet 上的用户访问 IPFS 中托管的内容，而用户无需安装客户端应用程序，攻击者越来越多地利用此基础架构进行有效载荷托管和分发。下面是保持维护的 IPFS 网关的公开列表。

对于已在 Dark Utilities 平台上注册的管理员僵尸主机，提供了一个名为“管理器”的管理面板。该面板列出了这个帐户控制下的系统，并提供了几个内置模块，使用它们可以进行拒绝服务攻击、执行加密货币挖掘以及跨其控制的系统执行命令。

该平台提供了内置接口来进行两种不同类型的 DDoS 攻击，这两种攻击都支持多种方法。在网络层第 4 层支持 TCP、UDP 和 ICMP，同时也有一些是专门针对某些特定的游戏平台的，例如 Teamspeak3、Fivem、GMOD 和 Valve 等，除此之外还有专门针对特定的游戏的，例如“反恐精英：全球攻势”和“Among Us”等。在网络层第 7 层支持 GET、POST、HEAD、PATCH、PUT、DELETE、OPTIONS 和 CONNECT 方法。该界面包含分别用于配置第 4 层和第 7 层 DDoS 攻击的表单，如下图所示。

加密货币挖掘功能利用 pool[.]hashvault[.]pro 来进行门罗币挖掘，使用这个功能只需要提供攻击者的门罗币钱包地址。

该平台还提供分布式命令执行以及一个可以同时针对大量系统来运行的 Discord 抓取器。

一旦受感染的系统建立了一个可用的 C2 通道，攻击者就会在受感染的用户帐户的环境中获得对系统的完全访问权限，并直接在平台的管理面板中提供一个交互式 PowerShell 命令行。

内置的 Python 解释器允许攻击者从平台管理面板中定义要在其控制的系统上执行的 Python 脚本。

该平台还公开了一个 REST API，使用API可以自动管理受感染的系统。

下面的示例代码用于指示受感染的系统对目标进行 DDoS 攻击。

与平台的使用相关的营销和规则在关于平台被用于非法或不正当目的的方面保持在法律的灰色地带，似乎在尝试尽量减少平台运营者的责任。

然而，该平台提供的文档仍然提供了为用于僵尸网络而执行侦察、识别漏洞并利用它们“感染服务器”的分步说明。

鉴于获取平台的低成本和平台提供的功能数量，这个平台很可能会继续受到那些寻求构建僵尸网络但又不想耗费大量时间和精力来开发自己的恶意软件的攻击者越来越多的欢迎。

4. Dark Utilities 的幕后黑手

Dark Utilities 似乎是由一个名为 Inplex-sys 的团伙创立和管理。仔细研究这个团伙的历史，尽管可以观察到 inplex-sys 也用英语进行交流，但作者团队发现了几个他们声称自己会说法语的实例。inplex-sys 在网络犯罪的地下空间的历史并不长。除了在 Hack Forums 平台上的简短互动外，inplex-sys 将他们的活动限制在 Telegram 和 Discord 等消息或机器人平台上。该平台启动后不久，作者团队观察到 inplex-sys 在 Lapsus$ 组织（最近有几名成员被捕的高调的攻击者）的Telegram 频道内为它做广告。

作者团队还在名为 Doxbin 的 doxxing服务上找到了 inplex-sys 的记录，这表明他们的位置在德国。作者团队评估这个 Doxbin 条目要么是不正确的，要么是故意作为诱饵发布的，而他们其实位于法国。基于有限的交互和其他行为的启示，看起来 inplex-sys 确实是 Dark Utilities 背后的主要人物，但是没有迹象表明他们是独立地管理和开发这个平台的。

作者团队观察到游戏商店 Steam 上也有人使用了相同的名字，并宣传了 Dark Utilities 服务和其他服务，并带有指向其各自网站的链接。

Smart Bot 是一个机器人管理平台，旨在用于发起垃圾邮件攻击，或针对 Discord 和 Twitch 通信平台的“突袭”。这些攻击通常是通过使用大量垃圾邮件充斥平台来破坏合法通信，这可能会导致流媒体收入损失。上传到 YouTube 的演示视频展示了该工具针对 Twitch 上流媒体的行为。

Smart Bot 项目列出的其他项目创建者似乎与 inplex-sys 有合作关系，其中一位 Smart Bot 创建者最近发布了一个 GitHub 存储库，其中包含一个用来和 Dark Utilities 平台交互的 NodeJS API 工具。

5. Dark Utilities有效载荷分析

Dark Utilities 有效载荷包含一个 Python 脚本，该脚本已编译为 Windows PE32+ 可执行文件或 Linux ELF 可执行文件。作者团队反编译了这些二进制文件并获得有效载荷的原始 Python 源代码。

在分析期间可用的 Linux 有效载荷实际上并不需要前面所说的运行参数。如果在启动可执行文件时未指定任何参数，则它将僵尸主机与默认所有者相关联，有可能是与平台开发人员相关联。

Python 脚本包含适用于Windows 和基于 Linux 的系统的代码。脚本首先识别它所运行的系统的体系结构、CPU 信息和其他系统详细信息。然后，它会确定是否可以通过与 Dark Utilities API 通信来更新有效载荷，以获取可用的最新版本信息，以便与系统上当前运行的版本进行比较。

如果更新的有效载荷可用，恶意软件将通过 IPFS 网关获取它，这与之前描述的过程类似。

接下来，有效载荷尝试在系统上实现持久性，使系统允许它在系统重新启动后执行。如果被感染的系统是 Windows，恶意软件会创建一个注册表运行键，如下图所示。

如果系统是 Linux 兼容系统，恶意软件将尝试定位并删除任何现有的Kinsing恶意软件并清除现有的 Crontab 配置。

然后它将创建一个 Crontab 条目或一个 Systemd 服务，以确保在系统重新启动后启动有效载荷。

作者团队观察到，在所分析的版本中，在建立持久性机制时将系统与特定 Dark Utilities 帐户关联的字母数字字符串是未定义的。这导致恶意软件在系统重新启动后使用前面描述的默认帐户字符串。在 Windows 和 Linux 系统上都观察到此问题。

该脚本还包含负责激活各种有效载荷功能的代码，例如加密货币挖掘、DDoS 攻击等。如果部署了 Monero 挖掘选项，恶意软件将通过 IPFS 网关获取XMRig 并在系统上执行它。该恶意软件使用 Hashvault 矿池，并根据受感染系统的操作系统设置最大 CPU 使用率值。

如果在受感染的机器上启动任务管理器，恶意软件会尝试通过终止挖矿进程来逃避检测。

该脚本还定义了一个名为 Attack 的类，其中包含第 4 层和第 7 层 DDoS 攻击载荷的子类，可以通过前面描述的管理面板进行配置和激活。以下是脚本中定义的针对各种游戏服务器（如“CS:GO”、“AmongUs”和 TeamSpeak）的有效载荷的一些示例。

该恶意软件使用以下代码来处理用平台管理面板中提供的 shell 执行任意系统命令的功能。它还支持通过平台提供的接口搜索受感染机器的文件系统。攻击者指定的 Python 代码也可以由恶意软件有效载荷执行。

6. 利用Dark Utilities

自该平台于 2022 年初建立以来，作者团队观察到了各种利用 Dark Utilities 进行 C2 通信的恶意软件样本。这包括针对 Windows 和 Linux 操作系统的恶意软件。

在一个示例中，阶段 1 有效载荷是一个可执行文件，它负责在 %TEMP% 目录的子文件夹中释放一个 PowerShell 脚本，而这个子文件夹也是在阶段 1 执行期间创建的。

然后按如下方式执行 PowerShell：

PowerShell 负责通过 IPFS 获取Dark Utilities 有效载荷并在系统上执行它。

使用的 PowerShell 语法示例如下所示。

第 2 阶段有效载荷（Dark Utilities Windows 有效载荷）存储在 PowerShell 创建的 Documents 文件夹的子目录中。接下来会执行有效载荷并传递攻击者的字母数字字符串。这会导致系统在攻击者的 Dark Utilities 帐户下注册，从而授予攻击者对受感染系统的完全控制权。在这种情况下，Dark Utilities 平台是通过 Tor2Web 网关访问的，该网关使受感染的系统能够与 Dark Utilities 进行通信，而无需安装 Tor 客户端。

作者团队也观察到针对 Linux 等其他操作系统的类似实现，其中攻击者利用 shell 脚本来执行有效载荷获取和执行，类似于下面展示的示例：

在许多情况下，作为参数传递的字母数字字符串因样本而异，这可能表明多个不同的威胁参与者正在采用这种方法来获取受感染系统上的 C2。随着时间的推移，C2 平台本身已经跨越了各种顶级域名（TLD）。作者团队观察到当样本托管在 ME、XYZ 和 PW 顶级域名上时，样本试图从不同的站点获取有效载荷。

7. 结论

虽然 Dark Utilities 平台是最近建立的，但已经有数千名用户注册并加入了该平台。鉴于平台提供的功能数量和相对较低的使用成本，作者团队预计该平台将继续快速扩大其用户群体。这可能会导致在野外试图利用该平台建立C2的恶意软件样本数量增加。企业应该了解这些C2aaS平台，并确保他们有安全控制措施来帮助保护其环境。这些平台为攻击者提供了各种复杂的能力，否则他们可能无法自行开发出这种平台。它们有效地降低了网络犯罪分子进入威胁领域的门槛，使得他们能够快速开始针对各种操作系统发起攻击。它们还提供了多种方法，可用于进一步将在企业环境中获得的系统访问权货币化，并可能导致在获得初始访问权后进一步在环境中部署恶意软件。

附录1 攻击指标

已观察到与利用 Dark Utilities 平台的恶意软件活动相关的以下失陷指标。

这些 IOC 也可以在作者的 Github 存储库中找到：https://[git]hub.com/Cisco-Talos/IOCs/tree/main/2022/08 。

(1) 哈希(SHA256)

09fd574a005f800e6eb37d7e2a3ca640d3ac3ac7dbbde42cbe85aa9e877c1f7f

0a351f3c9fb0add1397a8e984801061ded0802a3c45d9a5fc7098e806011a464

0d76fa68b7d788b37c9e0368222819a9ea3f53c70de61e5899cfbeff4b77b928

1e6e0918d2c93d452d9b3fbcac2cb3202ae3d97394eae6239c2d112791ec8260

240d2029d6f1ca1ee8b5c2d5f0aa862724502f71c48d5544ee053def4c0d83ec

24a5f9a37ed983e9377e0a5c7c5e20db279e3f1bd62acbd7a038fd75b1686617

2e377087d0d2cb90b631ab0543f60d3d5d56db8af858cf625e7a9a26c8726585

2edc356fe59c53ce6232707ae32e15e223c85bbaef5ed6a4767d5c216c3fd4e7

36a1b2c71afe03cc7a0f8eb96b987283bf174eafaade62c20ec8fd6c1b0c1d93

38ee6cc72b373228f7ffddbbf0f78734f85600d84095b057651028472777bde8

41a7d1fa7c70a82656d2fa971befd8fa47a16815a30ff3f671794b0377d886b3

464864cf0c19885d867fdeebec68d72adb72d91910d39f5fc0d0a9c4e3b7ea53

4c252e74d77d50263430c388c08dc522aaeb15ef440c453b2876330a392b85de

4d471cf939cc9d483587b74c0ffebed1b8a3f198d626e4a08d93d689f98122c8

50d0f98b17ca7d37dc8cd70cca2bad4c920b2bb1c059292fe6d203e94716f9bf

52ad5431eeac730b3ff3cfd555d7d6f3fd4b127c9f2d7aa02fc64e48c2eb0ff5

52ba9b0afe0d13957f7f49383b2c1d106e17b4a42c3819973d9862ded7559310

5537a103aebc9237ba6dbc208c4a72c9944fb5de5b676ec684bd4f08b2c49fe7

645190d1702b309b3db5fbbad7ac747afb57fd8119daf39f17f5b5b5868fb136

646b798f9a3251e44703b6e72858dbb854b9d4fb8553fe1e387903b06f4bfe50

65a1b3fb9430c7342d13f79b460b2cc7d9f9ddced2aeecd37f2862a67083e68c

6aa4dceb8c7b468fed2fa1c0b275a0bc4b1500325a3ad42576e7b3b98218614f

6b5b632f9db3a10cf893c496acbf8aecf460c75353af175ab3d90b9af84d4ca3

6c29ff8b0fae690356f85138b843ea2e2202e115e4b1213d96372b9eeef4f42c

6ca488cfbee32e4ea6af8a43b1e0b1a09c8653db7780aa5ff3661e1da31d751a

70706788666c7190803d6760e857e40d076ae69dc6cc172f517a46d8107127e6

72de1dafc8517aa82578b53518959642dc1aede81fc2da9fe01b5070100560d6

74984b6e514a4b77f20ed65a8b490313cbf80319eb3310ed8bca76f83e449564

755e02e1cc3357ec78a218347e4b40aa81783f01658cdf9fc0558e21d2d982ad

7e183f6c9e69535324f5e05bea3fde54a3151c9433717a9111bde6423eaee192

83fd0ced1eaf5f671c3837592684fb04a386649d2eaa12aa525fb73ac3b94a1a

8c59a3125891d8864f385724cd2412e099b88d1a9023a63fd61944ad0f4631d1

92aa81228137d571be956045cf673603e994c5e6d1a35559881e34b99e1e01fa

9d82b17a781835d1f2101e08a628fd834d05fabd53750fee8a0e5565dbdc7842

9e7fd31dfd530a8df90b80c4ae8ca89484e204a8c036125324cd39aa5cd8b562

a2e17c802369254de783115c1c47ddb2ae0e117d3f4be99a8d528f50f7a55e5d

a8fda5e327d5f66a96657cb54d229f029e8e468aac30707331c77dbc53a0e82b

ad50c79f66f6a7b7d8db43105fc931b7f74e1c9efb97e0867cafb373834e88ce

b0f1d43105a2d2b9efb2f36141eaf3f57dc6d7b1593bb31c5a8710614a08c8cc

b291dd56fc5b56d534c763f2d16d2ad340d6fbb735425d635af3fa0063063698

c1cba31a9eb73ea745f5cda1bdf84dc91734821e0899af058ecad5b1e458936c

c9deeda7cd7adb4ff584d13ea64cdb50c9e8b5c616f1dff476f372e86c9b9be6

cacab4c0e3af52bb7f620efc8f676b74caf1dc51983596e6a4a2ac50c5f39528

cd663bbe19ef09b76572cb6960d69e78639aad55b38758597d16deb3a541519f

cf4491029155a703195104cab5fdf314dc1b14b520b2305e66b67e78e240b43c

df6685c4d90ee92854eb7ab91b26eda43933a1a3a8ac3eefc957b1359faa8bea

e32d67b7d62bcaf06618794c0f93e31a03d3b2735d0af191a09092aa4512a37a

e4caf4131dc51c6f44bc75a26061623da269bf20a255c62f5b4a4ab934c7da53

e4eacbcd8ee561f073de7819d84e885c8a1d58614c052c135240783b078e164a

ed9d7558433a9d4fe0b6f632b8f3376aec26fb2a23d6cf2fe1d39c17a544ef39

f6f376c7b1f78fbf2354d2a908ef4ea17bf5e05d0c98af13052d1bc678ae2ebd

b11e566bd9f76563be3e53b1d5b49a2abc84bc89d361b58cb9f7ba85600ddea4

(2) 域名

dark-utilities[.]xyz

dark-utilities[.]pw

dark-utilities[.]me

ijfcm7bu6ocerxsfq56ka3dtdanunyp4ytwk745b54agtravj2wr2qqd[.]onion[.]pet

bafybeidravcab5p3acvthxtwosm4rfpl4yypwwm52s7sazgxaezfzn5xn4[.]ipfs[.]infura-ipfs[.]io

参考链接：https://blog.talosintelligence.com/2022/08/dark-utilities.html

编辑 | 涂晨鹏

审校 | 何双泽、金矢

本文为CNTIC编译整理，不代表本公众号观点，转载请保留出处与链接。

声明：本文来自国家网络威胁情报共享开放平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。