1. 首頁 > 生活百科 > >

遠程控制手機 遠程控制木馬軟件

手機木馬遠程控制

遙控木馬軟件(遙控手機)
如今,銷售惡意軟件即服務(MaaS)已經成為網絡黑客賺錢的可靠方式 。其中,遠程訪問木馬(RAT)近年來尤為流行 。
很明顯,這是非法活動,但這些RATs的開發者在出售時往往大義凜然,聲稱它們是系統管理員的合法軟件,試圖讓人們接受“技術本身沒有好壞,關鍵在于如何使用” 。
本月初,網絡安全公司Check Point對一款熱門RAT——Warzone進行了分析,希望能讓人們對惡意軟件服務有更直觀的了解 。
廣告推廣Warzone RAT的第一個廣告出現在Warzone [...]2018年秋天的IO 。目前,銷售服務托管在Warzone [...] PW和動態DNS服務在Warzone DNS上提供[...] com 。
根據網站描述,該惡意軟件具有以下功能:
NET不是必需的;
遠程桌面管理可以通過VNC完成;
遠程桌面管理可以通過RDPWrap完成;
權限提升(甚至是最新的Win 10);
遙控攝像機;
密碼收集(針對Chrome、火狐、IE、Edge、Outlook、雷鳥、Foxmail);
并下載任何文件;
實時鍵盤記錄;
遠程Shell;
文件管理;
流程管理;
反向代理 。

圖1 。戰區廣告 。] IO
圖2 。戰區最新廣告 。] PW
買家可以從以下三種認購計劃中選擇:
入門級:1個月,RAT僅;
專業水平:3個月,提供高級DDNS和客戶支持;
Warrat: 6個月,提供高級DDNS、高級客戶支持和Rootkit,可以隱藏進程、文件和啟動 。
圖3 。Warzone上的訂閱計劃[ 。] PW
同時,Warzone RAT開發人員還提供了另外兩種選擇:
漏洞生成器–允許惡意軟件嵌入到DOC文件中;
密碼器–打包惡意軟件以繞過安全檢測 。

圖4 。漏洞利用和加密計劃訂閱計劃
此外,該網站上還有一個可公開訪問的知識庫,其中包含使用Warzone RAT Builder的指南 。
圖5 。戰區知識庫[ 。] PW
通過搜索,Check Point研究人員在VirusTotal上找到了Warzone RAT的安裝包(可能是Warzone RAT的買家泄露的) 。
圖6 。泄露的Warzone RAT安裝包
技術細節初步分析,Warzone RAT是用C++編寫的,幾乎兼容所有Windows版本 。
Warzone RAT開發人員還在WarzoneDNS上提供動態DNS服務[...] com,這意味著買家不受IP地址變化的影響 。
值得注意的是,Warzone RAT可以繞過UAC(用戶賬號控制)突破Windows Defender,將自己放入發起者列表 。
UAC旁路
如果Warzone RAT正在以提升的權限運行,它將使用以下PowerShell命令添加一個完整的C:\路徑來排除Windows Defender:
powershell Add-MpPreference-ExclusionPath C:\
如果沒有,它將繞過UAC,并以兩種不同的方式提高權限——一種用于Windows 10,另一種用于舊版本:
對于Windows 10以下的版本,它將使用UAC旁路模塊(該模塊存儲在其資源部分);
對于Windows 10,它將濫用sdclt.exe的自動特權提升功能(用于Windows備份和還原機制的上下文中) 。

圖7 。UAC旁路策略
長期停留
Warzone RAT會將自己復制到c:\ user \ user \ app data \ roaming \ 。,并將此路徑添加到HKCu \ software \ Microsoft \ Windows \ current version \ run 。默認情況下,它是images.exe,但Warzone RAT的構建者允許買方任意修改可執行文件的名稱 。
此外,它將創建一個注冊表配置單元HKCu \ software \ Microsoft \ Windows \ current version \ explorer \ ui F2 is2ov k,并在其中的inst值下放置一個256字節的偽隨機生成序列 。
C2通信公司
Warzone RAT通過5200端口上的TCP與C2服務器通信,數據包的有效載荷由RC4用密碼“warzone160\x00”加密 。
圖8 。未加密數據包的布局
圖9 ?;貞? 。C2服務器
發送到C2服務器數據包包含以下數據:
機器GUID的SHA-1值;
【遠程控制手機 遠程控制木馬軟件】活動標識;
操作系統版本
管理員狀態;
計算機名;
惡意軟件的存儲路徑;
惡意文件的MurmurHash3值;
內存大?。?br /> CPU信息;
顯卡信息 。
分析表明,機器人標識是機器標識注冊表值HKLM \軟件\微軟\加密中的阿沙-1值 。
通過從C2服務器接收命令,bot可以為攻擊者提供以下功能:使用遠程shell、RDP或VNC控制受感染的計算機、遠程任務和文件管理以及遠程控制攝像機等 。
標簽雖然Warzone RAT被描述為合法軟件,但它實際上是一種與其他RAT功能相似的木馬病毒,可以通過其他惡意軟件或垃圾郵件傳播 。
如今,越來越多的計算機病毒以惡意軟件即服務的形式出售,購買者也可以從病毒開發者那里獲得持續的技術支持 。這些都大大降低了網絡犯罪的門檻,幾乎任何人都可以輕易發起新的惡意活動 。

推薦閱讀