如今,出售惡意軟件服務(Malware-as-a-Service,MaaS)儼然已經成為了網絡黑客賺錢的一條可靠途徑。其中,遠控木馬(Remote Access Trojan,RAT)近年來尤為暢銷。
明明是非法的勾當,但這些RAT的開發者在出售它們時往往義正言辭,聲稱它們是面向系統管理員的合法軟件,試圖讓人們接受“技術本身沒有好壞,關鍵在於如何使用”。
在本月初,網絡安全公司Check Point就針對目前深受歡迎的一款RAT——Warzone進行了分析,並希望藉此讓人們對惡意軟件服務有一個更為直觀的瞭解。
廣告推廣
Warzone RAT的首條廣告於2018年秋季出現在warzone[.]io上。目前,銷售服務託管在warzone[.]pw上,並在warzonedns[.]com上提供動態DNS服務。
根據網站的描述,該惡意軟件具有如下功能:
- 不需要.NET;
- 可通過VNC進行遠程桌面管理;
- 可通過RDPWrap進行遠程桌面管理;
- 權限提升(即使是最新的Win10);
- 遠程控制攝像頭;
- 密碼收集(適用於Chrome、Firefox、IE、Edge、Outlook、Thunderbird和Foxmail);
- 下載並執行任意文件;
- 實時鍵盤記錄;
- 遠程Shell;
- 文件管理;
- 進程管理;
- 反向代理。
購買者可以選擇以下三種訂閱計劃:
入門級:1個月,僅提供RAT;
專業級:3個月,提供高級DDNS和客戶支持;
WARZONE RAT:6個月,提供高級DDNS、高級客戶支持以及可隱藏進程、文件和啟動的Rootkit。
與此同時,Warzone RAT開發者還提供了另外兩個選擇:
- Exploit builder –允許將惡意軟件嵌入到DOC文件中;
- Crypter –打包惡意軟件,以繞過安全檢測。
此外,在該網站上還有一個公開訪問的知識庫,其中包含使用Warzone RAT構建器的指南。
通過搜索,Check Point研究人員在VirusTotal上找到了Warzone RAT的安裝包(可能是由Warzone RAT的購買者洩漏的)。
技術細節
初步分析顯示,Warzone RAT是採用C++編寫的,幾乎與所有的Windows版本都兼容。
Warzone RAT的開發者還在warzonedns[.]com上提供了動態DNS服務,這意味著購買者不受IP地址更改的影響。
值得注意的是,Warzone RAT能夠繞過UAC(用戶帳戶控制)以攻破Windows Defender,並將自身放入啟動程序列表中。
UAC繞過
如果Warzone RAT是以提升後的權限運行的,那麼它會使用如下PowerShell命令將一個完整的C:\\路徑添加到Windows Defender的排除項中:
powershell Add-MpPreference -ExclusionPath C:\\
如不不是以提升後的權限運行的,它便會通過如下兩種不同的方式繞過UAC並提升權限——一種針對Windows 10,另一種針對較舊版本:
- 對於Windows 10以下的版本,它將使用UAC旁路模塊(該模塊存儲在其資源部分中);
- 對於Windows 10,它將濫用sdclt.exe 的自動權限提升功能(該功能在Windows備份和還原機制的上下文中使用)。
長久駐留
Warzone RAT會將自身複製到C:\\Users\\User\\AppData\\Roaming\\<install>.exe,並將此路徑添加到HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run。默認情況下,<install>是images.exe,但Warzone RAT的構建器允許購買者任意修改可執行文件的名稱。/<install>/<install>
此外,它還會創建一個註冊表配置單元HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UIF2IS2OVK並在其中的inst值下放置一個256字節的偽隨機生成序列。
C2通信
Warzone RAT在5200端口通過TCP與C2服務器通信,數據包的有效載荷使用密碼“warzone160\\\\x00”通過RC4加密。
發送給C2服務器數據包包含如下數據:
- MachineGUID的SHA-1值;
- Campaign ID;
- 操作系統版本
- 管理員狀態;
- 計算機名稱;
- 惡意軟件的存儲路徑;
- 惡意文件MurmurHash3值;
- RAM大小;
- CPU信息;
- 顯卡信息。
分析表明,bot ID是MachineGUID註冊表值HKLM\\Software\\Microsoft\\Cryptography中的一個SHA-1值。
通過接收來自C2服務器的命令,bot能夠為攻擊者提供如下能力:使用遠程shell、RDP或VNC控制受感染的計算機、遠程任務和文件管理,以及遠程控制攝像頭等等。
結語
儘管Warzone RAT被描述為合法軟件,但它實際上是具有與其他RAT類似功能的木馬病毒,可通過其他惡意軟件或垃圾電子郵件進行傳播。
如今,越來越多的計算機病毒開始以惡意軟件即服務的形式被出售,且購買者還能夠得到病毒開發者的持續技術支持。這些導致網絡犯罪的門檻大大降低,幾乎任何人都可以輕鬆開展新的惡意活動。
因此,我們再次提醒大家應重視網絡安全,及時更新系統、安裝補丁,並至少使用一款信得過的安全產品,至少應做到不隨意打開任何來歷不明的電子郵件或文件。
閱讀更多 黑客視界 的文章