【安全资讯】绕过安全防御：DCRat通过HTML走私进行部署

概要：

近期，Netskope团队的报告揭示了一种新型的规避技术——HTML走私，该技术被用于部署模块化远程访问木马（RAT）DCRat（也被称为Dark Crystal RAT）。此方法越来越流行，使得威胁行为者能够绕过传统安全防御措施。

主要内容：

这份报告显示，自2018年以来，DCRat在恶意软件即服务（MaaS）领域中占据重要位置，允许网络犯罪分子租用其功能以发起攻击。这种木马用C#编写，具备键盘记录、文件窃取、命令执行和凭证盗窃等全面功能。

HTML走私技术将恶意负载嵌入到HTML文件中，通过电子邮件或其他通信渠道发送给受害者。当受害者在浏览器中打开HTML文件，恶意负载会动态地恢复原始形态。这些负载采用压缩或加密来规避安全机制，如防火墙和沙箱技术。

在此次DCRat的活动中，HTML文件被伪装成俄语媒体应用程序，如TrueConf和VK Messenger，可能主要针对俄语用户。一旦打开文件，会自动下载一个密码保护的ZIP档案到受害者的设备。HTML文件提供了密码“2024”来解密档案，从而绕过安全检查。

首次HTML走私过程中，ZIP档案包含一个自解压的RAR文件（RarSFX），其中包括一个批处理脚本和另一个密码保护的档案。执行后，批处理脚本解密并启动最终的DCRat负载。攻击者通过嵌入多层密码保护档案确保传统安全解决方案难以检测到实际的恶意软件。虽然有些安全工具能标记最终负载为恶意，但初始ZIP文件在VirusTotal等平台上零检测。这充分展示了密码保护在规避检测中的有效性。