远程控制木马软件(远程控制手机)

2022-07-10 10:30:10 发布:网友投稿
热度:51

远程控制木马软件(远程控制手机)遥控木马软件(遥控手机)

如今,销售恶意软件即服务(MaaS)已经成为网络黑客赚钱的可靠方式。其中,远程访问木马(RAT)近年来尤为流行。

很明显,这是非法活动,但这些RATs的开发者在出售时往往大义凛然,声称它们是系统管理员的合法软件,试图让人们接受“技术本身没有好坏,关键在于如何使用”。

本月初,网络安全公司Check Point对一款热门RAT——Warzone进行了分析,希望能让人们对恶意软件服务有更直观的了解。

广告推广

Warzone RAT的第一个广告出现在Warzone [...]2018年秋天的IO。目前,销售服务托管在Warzone [...] PW和动态DNS服务在Warzone DNS上提供[...] com。

根据网站描述,该恶意软件具有以下功能:

NET不是必需的;

远程桌面管理可以通过VNC完成;

远程桌面管理可以通过RDPWrap完成;

权限提升(甚至是最新的Win 10);

遥控摄像机;

密码收集(针对Chrome、火狐、IE、Edge、Outlook、雷鸟、Foxmail);

并下载任何文件;

实时键盘记录;

远程Shell;

文件管理;

流程管理;

反向代理。

图1。战区广告。] IO

图2。战区最新广告。] PW

买家可以从以下三种认购计划中选择:

入门级:1个月,RAT仅;

专业水平:3个月,提供高级DDNS和客户支持;

Warrat: 6个月,提供高级DDNS、高级客户支持和Rootkit,可以隐藏进程、文件和启动。

图3。Warzone上的订阅计划[。] PW

同时,Warzone RAT开发人员还提供了另外两种选择:

漏洞生成器–允许恶意软件嵌入到DOC文件中;

密码器–打包恶意软件以绕过安全检测。

图4。漏洞利用和加密计划订阅计划

此外,该网站上还有一个可公开访问的知识库,其中包含使用Warzone RAT Builder的指南。

图5。战区知识库[。] PW

通过搜索,Check Point研究人员在VirusTotal上找到了Warzone RAT的安装包(可能是Warzone RAT的买家泄露的)。

图6。泄露的Warzone RAT安装包

技术细节

初步分析,Warzone RAT是用C++编写的,几乎兼容所有Windows版本。

Warzone RAT开发人员还在WarzoneDNS上提供动态DNS服务[...] com,这意味着买家不受IP地址变化的影响。

值得注意的是,Warzone RAT可以绕过UAC(用户账号控制)突破Windows Defender,将自己放入发起者列表。

UAC旁路

如果Warzone RAT正在以提升的权限运行,它将使用以下PowerShell命令添加一个完整的C:\路径来排除Windows Defender:

powershell Add-MpPreference-ExclusionPath C:\

如果没有,它将绕过UAC,并以两种不同的方式提高权限——一种用于Windows 10,另一种用于旧版本:

对于Windows 10以下的版本,它将使用UAC旁路模块(该模块存储在其资源部分);

对于Windows 10,它将滥用sdclt.exe的自动特权提升功能(用于Windows备份和还原机制的上下文中)。

图7。UAC旁路策略

长期停留

Warzone RAT会将自己复制到c:\ user \ user \ app data \ roaming \。,并将此路径添加到HKCu \ software \ Microsoft \ Windows \ current version \ run。默认情况下,它是images.exe,但Warzone RAT的构建者允许买方任意修改可执行文件的名称。

此外,它将创建一个注册表配置单元HKCu \ software \ Microsoft \ Windows \ current version \ explorer \ ui F2 is2ov k,并在其中的inst值下放置一个256字节的伪随机生成序列。

C2通信公司

Warzone RAT通过5200端口上的TCP与C2服务器通信,数据包的有效载荷由RC4用密码“warzone160\x00”加密。

图8。未加密数据包的布局

图9。回应9。C2服务器

发送到C2服务器数据包包含以下数据:

机器GUID的SHA-1值;

活动标识;

操作系统版本

管理员状态;

计算机名;

恶意软件的存储路径;

恶意文件的MurmurHash3值;

内存大小;

CPU信息;

显卡信息。

分析表明,机器人标识是机器标识注册表值HKLM \软件\微软\加密中的阿沙-1值。

通过从C2服务器接收命令,bot可以为攻击者提供以下功能:使用远程shell、RDP或VNC控制受感染的计算机、远程任务和文件管理以及远程控制摄像机等。

标签

虽然Warzone RAT被描述为合法软件,但它实际上是一种与其他RAT功能相似的木马病毒,可以通过其他恶意软件或垃圾邮件传播。

如今,越来越多的计算机病毒以恶意软件即服务的形式出售,购买者也可以从病毒开发者那里获得持续的技术支持。这些都大大降低了网络犯罪的门槛,几乎任何人都可以轻易发起新的恶意活动。

因此,我们再次提醒大家,要注意网络安全,及时更新系统和安装补丁,至少使用一款值得信赖的安全产品,至少不要随意打开任何来历不明的邮件或文件。

下一篇:世界最高长颈鹿(世界上最高的长颈鹿多少米)
上一篇:溜冰有什么技巧(如何掌握溜冰的技巧)