远程控制木马软件(远程控制手机)
如今,出售恶意软件服务(Malware-as-a-Service,MaaS)俨然已经成为了网络黑客赚钱的一条可靠途径。其中,远控木马(Remote Access Trojan,RAT)近年来尤为畅销。
明明是非法的勾当,但这些RAT的开发者在出售它们时往往义正言辞,声称它们是面向系统管理员的合法软件,试图让人们接受“技术本身没有好坏,关键在于如何使用”。
在本月初,网络安全公司Check Point就针对目前深受欢迎的一款RAT——Warzone进行了分析,并希望借此让人们对恶意软件服务有一个更为直观的了解。
广告推广
Warzone RAT的首条广告于2018年秋季出现在warzone[.]io上。目前,销售服务托管在warzone[.]pw上,并在warzonedns[.]com上提供动态DNS服务。
根据网站的描述,该恶意软件具有如下功能:
不需要.NET;
可通过VNC进行远程桌面管理;
可通过RDPWrap进行远程桌面管理;
权限提升(即使是最新的Win10);
远程控制摄像头;
密码收集(适用于Chrome、Firefox、IE、Edge、Outlook、Thunderbird和Foxmail);
下载并执行任意文件;
实时键盘记录;
远程Shell;
文件管理;
进程管理;
反向代理。
图1.warzone[.]io上的广告
图2.warzone[.]pw上的最新广告
购买者可以选择以下三种订阅计划:
入门级:1个月,仅提供RAT;
专业级:3个月,提供高级DDNS和客户支持;
WARZONE RAT:6个月,提供高级DDNS、高级客户支持以及可隐藏进程、文件和启动的Rootkit。
图3.warzone[.]pw上的订阅计划
与此同时,Warzone RAT开发者还提供了另外两个选择:
Exploit builder –允许将恶意软件嵌入到DOC文件中;
Crypter –打包恶意软件,以绕过安全检测。
图4.漏洞利用和加密程序订阅计划
此外,在该网站上还有一个公开访问的知识库,其中包含使用Warzone RAT构建器的指南。
图5.warzone[.]pw上的知识库
通过搜索,Check Point研究人员在VirusTotal上找到了Warzone RAT的安装包(可能是由Warzone RAT的购买者泄漏的)。
图6.遭泄露的Warzone RAT安装包
技术细节
初步分析显示,Warzone RAT是采用C++编写的,几乎与所有的Windows版本都兼容。
Warzone RAT的开发者还在warzonedns[.]com上提供了动态DNS服务,这意味着购买者不受IP地址更改的影响。
值得注意的是,Warzone RAT能够绕过UAC(用户帐户控制)以攻破Windows Defender,并将自身放入启动程序列表中。
UAC绕过
如果Warzone RAT是以提升后的权限运行的,那么它会使用如下PowerShell命令将一个完整的C:\路径添加到Windows Defender的排除项中:
powershell Add-MpPreference -ExclusionPath C:\
如不不是以提升后的权限运行的,它便会通过如下两种不同的方式绕过UAC并提升权限——一种针对Windows 10,另一种针对较旧版本:
对于Windows 10以下的版本,它将使用UAC旁路模块(该模块存储在其资源部分中);
对于Windows 10,它将滥用sdclt.exe 的自动权限提升功能(该功能在Windows备份和还原机制的上下文中使用)。
图7.UAC绕过策略
长久驻留
Warzone RAT会将自身复制到C:\Users\User\AppData\Roaming\<INSTALL_NAME>.exe,并将此路径添加到HKCU\Software\Microsoft\Windows\CurrentVersion\Run。默认情况下,<INSTALL_NAME>是images.exe,但Warzone RAT的构建器允许购买者任意修改可执行文件的名称。
此外,它还会创建一个注册表配置单元HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UIF2IS2OVK并在其中的inst值下放置一个256字节的伪随机生成序列。
C2通信
Warzone RAT在5200端口通过TCP与C2服务器通信,数据包的有效载荷使用密码“warzone160\x00”通过RC4加密。
图8.未加密数据包的布局
图9.C2服务器的响应
发送给C2服务器数据包包含如下数据:
MachineGUID的SHA-1值;
Campaign ID;
操作系统版本
管理员状态;
计算机名称;
恶意软件的存储路径;
恶意文件MurmurHash3值;
RAM大小;
CPU信息;
显卡信息。
分析表明,bot ID是MachineGUID注册表值HKLM\Software\Microsoft\Cryptography中的一个SHA-1值。
通过接收来自C2服务器的命令,bot能够为攻击者提供如下能力:使用远程shell、RDP或VNC控制受感染的计算机、远程任务和文件管理,以及远程控制摄像头等等。
结语
尽管Warzone RAT被描述为合法软件,但它实际上是具有与其他RAT类似功能的木马病毒,可通过其他恶意软件或垃圾电子邮件进行传播。
如今,越来越多的计算机病毒开始以恶意软件即服务的形式被出售,且购买者还能够得到病毒开发者的持续技术支持。这些导致网络犯罪的门槛大大降低,几乎任何人都可以轻松开展新的恶意活动。
因此,我们再次提醒大家应重视网络安全,及时更新系统、安装补丁,并至少使用一款信得过的安全产品,至少应做到不随意打开任何来历不明的电子邮件或文件。