遥控木马软件(遥控手机)
如今,销售恶意软件即服务(MaaS)已经成为网络黑客赚钱的可靠方式 。其中,远程访问木马(RAT)近年来尤为流行 。
很明显,这是非法活动,但这些RATs的开发者在出售时往往大义凛然,声称它们是系统管理员的合法软件,试图让人们接受“技术本身没有好坏,关键在于如何使用” 。
本月初,网络安全公司Check Point对一款热门RAT——Warzone进行了分析,希望能让人们对恶意软件服务有更直观的了解 。
广告推广Warzone RAT的第一个广告出现在Warzone [...]2018年秋天的IO 。目前,销售服务托管在Warzone [...] PW和动态DNS服务在Warzone DNS上提供[...] com 。
根据网站描述,该恶意软件具有以下功能:
NET不是必需的;
远程桌面管理可以通过VNC完成;
远程桌面管理可以通过RDPWrap完成;
权限提升(甚至是最新的Win 10);
遥控摄像机;
密码收集(针对Chrome、火狐、IE、Edge、Outlook、雷鸟、Foxmail);
并下载任何文件;
实时键盘记录;
远程Shell;
文件管理;
流程管理;
反向代理 。
图1 。战区广告 。] IO
图2 。战区最新广告 。] PW
买家可以从以下三种认购计划中选择:
入门级:1个月,RAT仅;
专业水平:3个月,提供高级DDNS和客户支持;
Warrat: 6个月,提供高级DDNS、高级客户支持和Rootkit,可以隐藏进程、文件和启动 。
图3 。Warzone上的订阅计划[ 。] PW
同时,Warzone RAT开发人员还提供了另外两种选择:
漏洞生成器–允许恶意软件嵌入到DOC文件中;
密码器–打包恶意软件以绕过安全检测 。
图4 。漏洞利用和加密计划订阅计划
此外,该网站上还有一个可公开访问的知识库,其中包含使用Warzone RAT Builder的指南 。
图5 。战区知识库[ 。] PW
通过搜索,Check Point研究人员在VirusTotal上找到了Warzone RAT的安装包(可能是Warzone RAT的买家泄露的) 。
图6 。泄露的Warzone RAT安装包
技术细节初步分析,Warzone RAT是用C++编写的,几乎兼容所有Windows版本 。
Warzone RAT开发人员还在WarzoneDNS上提供动态DNS服务[...] com,这意味着买家不受IP地址变化的影响 。
值得注意的是,Warzone RAT可以绕过UAC(用户账号控制)突破Windows Defender,将自己放入发起者列表 。
UAC旁路
如果Warzone RAT正在以提升的权限运行,它将使用以下PowerShell命令添加一个完整的C:\路径来排除Windows Defender:
powershell Add-MpPreference-ExclusionPath C:\
如果没有,它将绕过UAC,并以两种不同的方式提高权限——一种用于Windows 10,另一种用于旧版本:
对于Windows 10以下的版本,它将使用UAC旁路模块(该模块存储在其资源部分);
对于Windows 10,它将滥用sdclt.exe的自动特权提升功能(用于Windows备份和还原机制的上下文中) 。
图7 。UAC旁路策略
长期停留
Warzone RAT会将自己复制到c:\ user \ user \ app data \ roaming \ 。,并将此路径添加到HKCu \ software \ Microsoft \ Windows \ current version \ run 。默认情况下,它是images.exe,但Warzone RAT的构建者允许买方任意修改可执行文件的名称 。
此外,它将创建一个注册表配置单元HKCu \ software \ Microsoft \ Windows \ current version \ explorer \ ui F2 is2ov k,并在其中的inst值下放置一个256字节的伪随机生成序列 。
C2通信公司
Warzone RAT通过5200端口上的TCP与C2服务器通信,数据包的有效载荷由RC4用密码“warzone160\x00”加密 。
图8 。未加密数据包的布局
图9 。回应9 。C2服务器
发送到C2服务器数据包包含以下数据:
机器GUID的SHA-1值;
【远程控制手机 远程控制木马软件】活动标识;
操作系统版本
管理员状态;
计算机名;
恶意软件的存储路径;
恶意文件的MurmurHash3值;
内存大小;
CPU信息;
显卡信息 。
分析表明,机器人标识是机器标识注册表值HKLM \软件\微软\加密中的阿沙-1值 。
通过从C2服务器接收命令,bot可以为攻击者提供以下功能:使用远程shell、RDP或VNC控制受感染的计算机、远程任务和文件管理以及远程控制摄像机等 。
标签虽然Warzone RAT被描述为合法软件,但它实际上是一种与其他RAT功能相似的木马病毒,可以通过其他恶意软件或垃圾邮件传播 。
如今,越来越多的计算机病毒以恶意软件即服务的形式出售,购买者也可以从病毒开发者那里获得持续的技术支持 。这些都大大降低了网络犯罪的门槛,几乎任何人都可以轻易发起新的恶意活动 。
推荐阅读
- 电脑照片传到手机步骤 怎么把电脑照片传到iphone
- 为什么上网速度却很慢? 手机上网很慢怎么办
- 用手机连接电脑上网 手机用电脑上网
- 手机安全卫士排行榜前十 手机安全卫士
- 小品视频下载网站 免费下载 手机视频下载
- 手机怎么修改网络设置 手机上网设置
- iPhone资深用户推荐9款好用App 苹果手机必备软件
- 怎样查电信手机流量 怎样查电信手机流量
- 哪款手机的拍摄性能最强? 拍照什么手机好
- 手机自动一天赚500 没本钱怎么在手机一天赚500