全球经典压缩包管理器——WinRAR被曝发现高危远程代码执行漏洞以来,这些高危漏洞已然成为不少网络攻击者“钻空作案”的“新宠”。近日,腾讯安全御见威胁情报中心监测发现,一款名为“Lime-RAT”的远控木马正通过WinRAR高危漏洞(CVE-2018-20250)进行恶意传播。该木马可通过修改配置信息或者接收远程指令,对中毒电脑实行远程控制,甚至还会监视用户的剪切板,在用户进行数字货币交易时实施“打劫”,给用户信息和财产安全构成极大威胁。
近日,Cofense Intelligence发现了一个使用Lime-RAT的网络钓鱼活动,然后对其进行了分析。Lime RAT的代码是用C#编写的,并且在.NET 4.0上。Lime RAT是恶意软件库的一部分,其中包括Lime_Miner、Lime_Crypter和Lime_USB。这种恶意软件是开源的,并且自称是.NET恶意软件的教学工具。但是,由于功能丰富且记录良好,Lime RAT还可用于恶意行为。
此恶意软件系列的一个有趣功能是使用多个端口进行通信,从而造成了通信通道冗余。Lime RAT构建平台和面板的初始设置只需要两件事:端口号和AES(高级加密标准)128位加密密钥。端口号用于打开端口以侦听服务器,AES密钥用于加密客户端和服务器之间的所有通信。图1显示了具有端口和AES密钥的初始设置窗格。
图1. Lime RAT设置过程
有效负载的构建器只包含复选框和文本输入字段,即便是新手也可以使用这些字段来生成有效的恶意二进制文件。此构建器可以让攻击者使用不同的功能和图标自定义有效负载。它还可以让攻击者在目标计算机上设置命令和控制(C2)基础结构以及永久性的删除文件。图2显示了可用于自定义有效负载的功能,包括反虚拟机。
图2.Lime RAT有效负载可用的功能
Lime RAT有效负载创建完成后,发送到目标机器并在目标机器上执行时,二进制文件将连接到面板。当客户端连接时,它会向控制面板发送信息,包含有关操作系统、CPU、用户、国家/地区等的详细信息。控制面板提供自动为客户端分配任务的选项,例如下载和执行特定文件。图3显示了控制面板,其中包含来自连接客户端的信息,而图4显示了“OnConnect”自动任务面板。
图3.连接到C2基础设施的受感染客户端计算机的控制面板视图
图4.“OnConnect”自动任务选项
控制面板可以让攻击者右键单击所选机器并选择命令来操纵目标。攻击者可以进行以下攻击:启动勒索软件加密、删除Monero矿工、启用远程桌面协议(RDP)、窃取信息/加密货币等。
图5.目标机器的勒索软件和其他插件
图6.目标机器的键盘记录和持久性选项
勒索软件功能可以自定义消息以及显示图像。使用此RAT的勒索软件功能加密目标主机时,文件扩展名将变为“.Lime”。图7显示了在启动加密后显示给用户的自定义消息和默认图像。
图7. Lime RAT的默认勒索信
键盘记录功能在收集内容方面并不分先进。它只能收集键盘输入的内容,而不能收集自动填充或从剪贴板添加的内容。但键盘记录器会输出显示时间戳以及写入文本的应用程序。图8显示了感染Lime RAT的计算机上正在运行的键盘记录器模块的控制面板输出内容。
图8.键盘记录器模块收集的文本
如前面图2所示,Lime RAT可以像蠕虫一样传播。构建有效负载时,攻击者可以将“USB传播”和“固定任务栏应用程序传播”功能包含在有效负载中。USB传播功能查找任何连接的类型2设备,然后尝试用Lime RAT可执行版本替换任何文件。执行此操作时,Lime RAT将保留现在已感染的文件的原始图标。通过替换这些图标链接的快捷方式路径,可以进一步传播。
Lime RAT控制面板中的“Thumbnail”选项卡(图9)是受感染机器的屏幕截图。这个屏幕截图可以打开也可以关闭,并有一个计时器,屏幕截图之间的默认间隔为5秒。
图9.“Thumbnail”选项卡,用于保存受感染计算机的屏幕截图
登录Lime RAT并不像其他RAT那样先进。如下图所示,“Logs”选项卡仅记录连接和断开连接的时间戳和IP。
Lime RAT是一个开源的、文档齐全的.NET框架恶意软件套件,功能多样。这种恶意软件能够窃取大量有价值的信息、加密赎金、和/或将目标主机变成具有基本功能的机器人,规避防病毒软件、反虚拟机功能、占用空间小和加密通信会吸引越来越多的攻击者。
本文作者:Gump,转载自:http://www.mottoin.com/detail/3870.html
閱讀更多 A1d2m3i4n5 的文章
