干货 | 记一次DarkKomet synaptics 病毒应急响应事件

主要观点总结

本文介绍了关于DarkKomet远程访问木马（RAT）的详细信息，包括其基本情况、功能、传播方式、检测机制、抑制阶段、根除阶段、恢复阶段以及总结阶段等关键点。

关键观点总结

关键观点1: DarkKomet基本情况

DarkKomet是由Jean-Pierre Lesueur开发的远程访问木马（RAT），用于许多有针对性的攻击，具有网络摄像头拍照、通过麦克风窃听对话、获取受感染机器的完全控制等功能。别名包括Fynloski、Krademok等。

关键观点2: DarkKomet的功能

远控、监控用户行为、开启SYSTEM后门、窃取用户信息并回传信息、下载其他恶意软件。

关键观点3: DarkKomet的传播方式

伪装成笔记本电脑触控板驱动程序进行传播，通过U盘插入、xlsx文件分享、远控软件捆绑实现横向扩散，具有极强传播能力。

关键观点4: 检测阶段

基于TTP驱动、离群数据驱动、杀毒事件驱动、威胁情报驱动混合的货拉拉终端应急响应检测机制，通过EDR收集终端数据并结合威胁情报接口进行扫描。

关键观点5: 抑制阶段

拦截回连c2域名、IP，中断连接，远程接入应急溯源，获取TTP。

关键观点6: 根除阶段

删除启动项和病毒文件，解除病毒文件的驻留状态。

关键观点7: 恢复阶段

清除被感染的"_cache_"文件，并加入EDR和杀毒进行复验攻击阻断。

关键观点8: 总结阶段与防范建议

总结了DarkKomet木马的IOC、TTP和历史事件。提出针对员工高频安装的浏览器类、IM类、运维工具类、远程控制类软件需要做好软件与对应签名的映射验证，并针对高危场景进行离群数据威胁狩猎等防范建议。

免责声明