远程控制木马软件(远程控制手机)

80酷酷网    80kuku.com

远程控制木马软件(远程控制手机)说是远程管理软件,实则远控木马,这就是按月收费的Warzone RAT

如今,出售恶意软件服务(Malware-as-a-Service,MaaS)俨然已经成为了网络黑客赚钱的一条可靠途径。其中,远控木马(Remote Access Trojan,RAT)近年来尤为畅销。

明明是非法的勾当,但这些RAT的开发者在出售它们时往往义正言辞,声称它们是面向系统管理员的合法软件,试图让人们接受“技术本身没有好坏,关键在于如何使用”。

在本月初,网络安全公司Check Point就针对目前深受欢迎的一款RAT——Warzone进行了分析,并希望借此让人们对恶意软件服务有一个更为直观的了解。

广告推广

Warzone RAT的首条广告于2018年秋季出现在warzone[.]io上。目前,销售服务托管在warzone[.]pw上,并在warzonedns[.]com上提供动态DNS服务。

根据网站的描述,该恶意软件具有如下功能:

  • 不需要.NET;

  • 可通过VNC进行远程桌面管理;

  • 可通过RDPWrap进行远程桌面管理;

  • 权限提升(即使是最新的Win10);

  • 远程控制摄像头;

  • 密码收集(适用于Chrome、Firefox、IE、Edge、Outlook、Thunderbird和Foxmail);

  • 下载并执行任意文件;

  • 实时键盘记录;

  • 远程Shell;

  • 文件管理;

  • 进程管理;

  • 反向代理。

说是远程管理软件,实则远控木马,这就是按月收费的Warzone RAT

图1.warzone[.]io上的广告

说是远程管理软件,实则远控木马,这就是按月收费的Warzone RAT

图2.warzone[.]pw上的最新广告

购买者可以选择以下三种订阅计划:

入门级:1个月,仅提供RAT;

专业级:3个月,提供高级DDNS和客户支持;

WARZONE RAT:6个月,提供高级DDNS、高级客户支持以及可隐藏进程、文件和启动的Rootkit。

说是远程管理软件,实则远控木马,这就是按月收费的Warzone RAT

图3.warzone[.]pw上的订阅计划

与此同时,Warzone RAT开发者还提供了另外两个选择:

  • Exploit builder –允许将恶意软件嵌入到DOC文件中;

  • Crypter –打包恶意软件,以绕过安全检测。

说是远程管理软件,实则远控木马,这就是按月收费的Warzone RAT

图4.漏洞利用和加密程序订阅计划

此外,在该网站上还有一个公开访问的知识库,其中包含使用Warzone RAT构建器的指南。

说是远程管理软件,实则远控木马,这就是按月收费的Warzone RAT

图5.warzone[.]pw上的知识库

通过搜索,Check Point研究人员在VirusTotal上找到了Warzone RAT的安装包(可能是由Warzone RAT的购买者泄漏的)。

说是远程管理软件,实则远控木马,这就是按月收费的Warzone RAT

图6.遭泄露的Warzone RAT安装包

技术细节

初步分析显示,Warzone RAT是采用C++编写的,几乎与所有的Windows版本都兼容。

Warzone RAT的开发者还在warzonedns[.]com上提供了动态DNS服务,这意味着购买者不受IP地址更改的影响。

值得注意的是,Warzone RAT能够绕过UAC(用户帐户控制)以攻破Windows Defender,并将自身放入启动程序列表中。

UAC绕过

如果Warzone RAT是以提升后的权限运行的,那么它会使用如下PowerShell命令将一个完整的C:\路径添加到Windows Defender的排除项中:

powershell Add-MpPreference -ExclusionPath C:\

如不不是以提升后的权限运行的,它便会通过如下两种不同的方式绕过UAC并提升权限——一种针对Windows 10,另一种针对较旧版本:

  • 对于Windows 10以下的版本,它将使用UAC旁路模块(该模块存储在其资源部分中);

  • 对于Windows 10,它将滥用sdclt.exe 的自动权限提升功能(该功能在Windows备份和还原机制的上下文中使用)。

说是远程管理软件,实则远控木马,这就是按月收费的Warzone RAT

图7.UAC绕过策略

长久驻留

Warzone RAT会将自身复制到C:\Users\User\AppData\Roaming\<INSTALL_NAME>.exe,并将此路径添加到HKCU\Software\Microsoft\Windows\CurrentVersion\Run。默认情况下,<INSTALL_NAME>是images.exe,但Warzone RAT的构建器允许购买者任意修改可执行文件的名称。

此外,它还会创建一个注册表配置单元HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UIF2IS2OVK并在其中的inst值下放置一个256字节的伪随机生成序列。

C2通信

Warzone RAT在5200端口通过TCP与C2服务器通信,数据包的有效载荷使用密码“warzone160\x00”通过RC4加密。

说是远程管理软件,实则远控木马,这就是按月收费的Warzone RAT

图8.未加密数据包的布局

说是远程管理软件,实则远控木马,这就是按月收费的Warzone RAT

图9.C2服务器的响应

发送给C2服务器数据包包含如下数据:

  • MachineGUID的SHA-1值;

  • Campaign ID;

  • 操作系统版本

  • 管理员状态;

  • 计算机名称;

  • 恶意软件的存储路径;

  • 恶意文件MurmurHash3值;

  • RAM大小;

  • CPU信息;

  • 显卡信息。

分析表明,bot ID是MachineGUID注册表值HKLM\Software\Microsoft\Cryptography中的一个SHA-1值。

通过接收来自C2服务器的命令,bot能够为攻击者提供如下能力:使用远程shell、RDP或VNC控制受感染的计算机、远程任务和文件管理,以及远程控制摄像头等等。

结语

尽管Warzone RAT被描述为合法软件,但它实际上是具有与其他RAT类似功能的木马病毒,可通过其他恶意软件或垃圾电子邮件进行传播。

如今,越来越多的计算机病毒开始以恶意软件即服务的形式被出售,且购买者还能够得到病毒开发者的持续技术支持。这些导致网络犯罪的门槛大大降低,几乎任何人都可以轻松开展新的恶意活动。

因此,我们再次提醒大家应重视网络安全,及时更新系统、安装补丁,并至少使用一款信得过的安全产品,至少应做到不随意打开任何来历不明的电子邮件或文件。

分享到
  • 微信分享
  • 新浪微博
  • QQ好友
  • QQ空间
点击: