如今，出售惡意軟件服務（Malware-as-a-Service，MaaS）儼然已經成為了網絡黑客賺錢的一條可靠途徑。其中，遠控木馬（Remote Access Trojan，RAT）近年來尤為暢銷。

明明是非法的勾當，但這些RAT的開發者在出售它們時往往義正言辭，聲稱它們是面向系統管理員的合法軟件，試圖讓人們接受“技術本身沒有好壞，關鍵在於如何使用”。

在本月初，網絡安全公司Check Point就針對目前深受歡迎的一款RAT——Warzone進行了分析，並希望藉此讓人們對惡意軟件服務有一個更為直觀的瞭解。

廣告推廣

Warzone RAT的首條廣告於2018年秋季出現在warzone[.]io上。目前，銷售服務託管在warzone[.]pw上，並在warzonedns[.]com上提供動態DNS服務。

根據網站的描述，該惡意軟件具有如下功能：

• 不需要.NET；
• 可通過VNC進行遠程桌面管理；
• 可通過RDPWrap進行遠程桌面管理；
• 權限提升（即使是最新的Win10）；
• 遠程控制攝像頭；
• 密碼收集（適用於Chrome、Firefox、IE、Edge、Outlook、Thunderbird和Foxmail）；
• 下載並執行任意文件；
• 實時鍵盤記錄；
• 遠程Shell；
• 文件管理；
• 進程管理；
• 反向代理。

圖1.warzone[.]io上的廣告

圖2.warzone[.]pw上的最新廣告

購買者可以選擇以下三種訂閱計劃：

入門級：1個月，僅提供RAT；

專業級：3個月，提供高級DDNS和客戶支持；

WARZONE RAT：6個月，提供高級DDNS、高級客戶支持以及可隱藏進程、文件和啟動的Rootkit。

圖3.warzone[.]pw上的訂閱計劃

與此同時，Warzone RAT開發者還提供了另外兩個選擇：

• Exploit builder –允許將惡意軟件嵌入到DOC文件中；
• Crypter –打包惡意軟件，以繞過安全檢測。

圖4.漏洞利用和加密程序訂閱計劃

此外，在該網站上還有一個公開訪問的知識庫，其中包含使用Warzone RAT構建器的指南。

圖5.warzone[.]pw上的知識庫

通過搜索，Check Point研究人員在VirusTotal上找到了Warzone RAT的安裝包（可能是由Warzone RAT的購買者洩漏的）。

圖6.遭洩露的Warzone RAT安裝包

技術細節

初步分析顯示，Warzone RAT是採用C++編寫的，幾乎與所有的Windows版本都兼容。

Warzone RAT的開發者還在warzonedns[.]com上提供了動態DNS服務，這意味著購買者不受IP地址更改的影響。

值得注意的是，Warzone RAT能夠繞過UAC（用戶帳戶控制）以攻破Windows Defender，並將自身放入啟動程序列表中。

UAC繞過

如果Warzone RAT是以提升後的權限運行的，那麼它會使用如下PowerShell命令將一個完整的C:\\路徑添加到Windows Defender的排除項中：

powershell Add-MpPreference -ExclusionPath C:\\

如不不是以提升後的權限運行的，它便會通過如下兩種不同的方式繞過UAC並提升權限——一種針對Windows 10，另一種針對較舊版本：

• 對於Windows 10以下的版本，它將使用UAC旁路模塊（該模塊存儲在其資源部分中）；
• 對於Windows 10，它將濫用sdclt.exe 的自動權限提升功能（該功能在Windows備份和還原機制的上下文中使用）。

圖7.UAC繞過策略

長久駐留

Warzone RAT會將自身複製到C:\\Users\\User\\AppData\\Roaming\\<install>.exe，並將此路徑添加到HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run。默認情況下，<install>是images.exe，但Warzone RAT的構建器允許購買者任意修改可執行文件的名稱。/<install>/<install>

此外，它還會創建一個註冊表配置單元HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UIF2IS2OVK並在其中的inst值下放置一個256字節的偽隨機生成序列。

C2通信

Warzone RAT在5200端口通過TCP與C2服務器通信，數據包的有效載荷使用密碼“warzone160\\\\x00”通過RC4加密。

圖8.未加密數據包的佈局

圖9.C2服務器的響應

發送給C2服務器數據包包含如下數據：

• MachineGUID的SHA-1值；
• Campaign ID；
• 操作系統版本
• 管理員狀態；
• 計算機名稱；
• 惡意軟件的存儲路徑；
• 惡意文件MurmurHash3值；
• RAM大小；
• CPU信息；
• 顯卡信息。

分析表明，bot ID是MachineGUID註冊表值HKLM\\Software\\Microsoft\\Cryptography中的一個SHA-1值。

通過接收來自C2服務器的命令，bot能夠為攻擊者提供如下能力：使用遠程shell、RDP或VNC控制受感染的計算機、遠程任務和文件管理，以及遠程控制攝像頭等等。

結語

儘管Warzone RAT被描述為合法軟件，但它實際上是具有與其他RAT類似功能的木馬病毒，可通過其他惡意軟件或垃圾電子郵件進行傳播。

如今，越來越多的計算機病毒開始以惡意軟件即服務的形式被出售，且購買者還能夠得到病毒開發者的持續技術支持。這些導致網絡犯罪的門檻大大降低，幾乎任何人都可以輕鬆開展新的惡意活動。

因此，我們再次提醒大家應重視網絡安全，及時更新系統、安裝補丁，並至少使用一款信得過的安全產品，至少應做到不隨意打開任何來歷不明的電子郵件或文件。

---

分享到:

---

閱讀更多 黑客視界 的文章

關鍵字: 網絡安全 木馬 遠控

---