全球經典壓縮包管理器——WinRAR被曝發現高危遠程代碼執行漏洞以來,這些高危漏洞已然成為不少網絡攻擊者“鑽空作案”的“新寵”。近日,騰訊安全御見威脅情報中心監測發現,一款名為“Lime-RAT”的遠控木馬正通過WinRAR高危漏洞(CVE-2018-20250)進行惡意傳播。該木馬可通過修改配置信息或者接收遠程指令,對中毒電腦實行遠程控制,甚至還會監視用戶的剪切板,在用戶進行數字貨幣交易時實施“打劫”,給用戶信息和財產安全構成極大威脅。
近日,Cofense Intelligence發現了一個使用Lime-RAT的網絡釣魚活動,然後對其進行了分析。Lime RAT的代碼是用C#編寫的,並且在.NET 4.0上。Lime RAT是惡意軟件庫的一部分,其中包括Lime_Miner、Lime_Crypter和Lime_USB。這種惡意軟件是開源的,並且自稱是.NET惡意軟件的教學工具。但是,由於功能豐富且記錄良好,Lime RAT還可用於惡意行為。
此惡意軟件系列的一個有趣功能是使用多個端口進行通信,從而造成了通信通道冗餘。Lime RAT構建平臺和麵板的初始設置只需要兩件事:端口號和AES(高級加密標準)128位加密密鑰。端口號用於打開端口以偵聽服務器,AES密鑰用於加密客戶端和服務器之間的所有通信。圖1顯示了具有端口和AES密鑰的初始設置窗格。
圖1. Lime RAT設置過程
有效負載的構建器只包含複選框和文本輸入字段,即便是新手也可以使用這些字段來生成有效的惡意二進制文件。此構建器可以讓攻擊者使用不同的功能和圖標自定義有效負載。它還可以讓攻擊者在目標計算機上設置命令和控制(C2)基礎結構以及永久性的刪除文件。圖2顯示了可用於自定義有效負載的功能,包括反虛擬機。
圖2.Lime RAT有效負載可用的功能
Lime RAT有效負載創建完成後,發送到目標機器並在目標機器上執行時,二進制文件將連接到面板。當客戶端連接時,它會向控制面板發送信息,包含有關操作系統、CPU、用戶、國家/地區等的詳細信息。控制面板提供自動為客戶端分配任務的選項,例如下載和執行特定文件。圖3顯示了控制面板,其中包含來自連接客戶端的信息,而圖4顯示了“OnConnect”自動任務面板。
圖3.連接到C2基礎設施的受感染客戶端計算機的控制面板視圖
圖4.“OnConnect”自動任務選項
控制面板可以讓攻擊者右鍵單擊所選機器並選擇命令來操縱目標。攻擊者可以進行以下攻擊:啟動勒索軟件加密、刪除Monero礦工、啟用遠程桌面協議(RDP)、竊取信息/加密貨幣等。
圖5.目標機器的勒索軟件和其他插件
圖6.目標機器的鍵盤記錄和持久性選項
勒索軟件功能可以自定義消息以及顯示圖像。使用此RAT的勒索軟件功能加密目標主機時,文件擴展名將變為“.Lime”。圖7顯示了在啟動加密後顯示給用戶的自定義消息和默認圖像。
圖7. Lime RAT的默認勒索信
鍵盤記錄功能在收集內容方面並不分先進。它只能收集鍵盤輸入的內容,而不能收集自動填充或從剪貼板添加的內容。但鍵盤記錄器會輸出顯示時間戳以及寫入文本的應用程序。圖8顯示了感染Lime RAT的計算機上正在運行的鍵盤記錄器模塊的控制面板輸出內容。
圖8.鍵盤記錄器模塊收集的文本
如前面圖2所示,Lime RAT可以像蠕蟲一樣傳播。構建有效負載時,攻擊者可以將“USB傳播”和“固定任務欄應用程序傳播”功能包含在有效負載中。USB傳播功能查找任何連接的類型2設備,然後嘗試用Lime RAT可執行版本替換任何文件。執行此操作時,Lime RAT將保留現在已感染的文件的原始圖標。通過替換這些圖標鏈接的快捷方式路徑,可以進一步傳播。
Lime RAT控制面板中的“Thumbnail”選項卡(圖9)是受感染機器的屏幕截圖。這個屏幕截圖可以打開也可以關閉,並有一個計時器,屏幕截圖之間的默認間隔為5秒。
圖9.“Thumbnail”選項卡,用於保存受感染計算機的屏幕截圖
登錄Lime RAT並不像其他RAT那樣先進。如下圖所示,“Logs”選項卡僅記錄連接和斷開連接的時間戳和IP。
Lime RAT是一個開源的、文檔齊全的.NET框架惡意軟件套件,功能多樣。這種惡意軟件能夠竊取大量有價值的信息、加密贖金、和/或將目標主機變成具有基本功能的機器人,規避防病毒軟件、反虛擬機功能、佔用空間小和加密通信會吸引越來越多的攻擊者。
本文作者:Gump,轉載自:http://www.mottoin.com/detail/3870.html
閱讀更多 A1d2m3i4n5 的文章
