利用DNS TXT记录在PDF文件中更新后门Payload

最近，我看到了来自Unit 42的一条推文，展示了DarkGate使用的一种有趣的新技术，以便通过DNS TXT记录检索DarkGate安装脚本，导致DarkGate在最近的活动中感染了受害者机器。

我通过DNS TXT记录为新的DarkGate安装脚本检索技术开发了一个插件，并将其上传到以下存储库中：

• 带有嵌入链接的PDF（名称：Bank-Statement-poc.pdf）
• ZIP Archive（文件名：Bank-Statement-20231523-poc.pdf.zip）
• 由LNK（DNS）文件组成，该文件通过DNS TXT记录检索安装脚本（名称：Bank-Statement-20231523-poc.pdf.lnk）

免责声明： 该插件不包含任何恶意代码，仅用于演示和测试目的。

感染链：

在类似于ITW DarkGate运动中看到的感染链中：

首先，我们打开PDF（Bank-Statement-poc.pdf），其中包含一个嵌入式链接，单击该链接时会下载ZIP存档（Bank-Statement-20231523-poc.pdf.zip）。

ZIP存档由一个LNK（ZIP）文件组成，一旦执行该文件，就会运行一个命令，该命令使用nslookup从测试域“pocdomain[.] linkpc[.] net”检索TXT记录。

该命令解析检索到的TXT记录，并将其保存在TEMP目录中作为“poc.cmd”，然后进一步执行它。

完整的过程树：

在DarkGate ITW示例的情况下，恶意LNK文件从域中检索的TXT记录包括下载autoit3和恶意.au3文件副本的命令，进一步导致DarkGate感染。

项目地址： https://github.com/knight0x07/DarkGate-Install-Script-via-DNS-TXT-Record