远程控制木马软件(远程控制手机)

如今，销售恶意软件即服务(MaaS)已经成为网络黑客赚钱的可靠途径。其中，远程访问木马(RAT)是近年来特别流行的一种。

明明是违法行为，但是这些鼠辈的开发者在销售的时候却经常大义凛然，声称自己是系统管理员的合法软件，试图让人们接受“技术本身没有好坏，关键是怎么用”。

本月初，网络安全公司Check Point对流行的rat Warzone做了一个分析，希望人们对恶意软件服务有更直观的认识。

广告推广

Warzone RAT的第一个广告出现在Warzone [...]2018年秋木卫一。目前销售服务托管在warzone[。]pw，并且在warzonedns[上提供动态DNS服务。]com。

根据网站的描述，该恶意软件具有以下功能:

不需要；网；；

远程桌面管理可以通过VNC完成；

可以通过RDPWrap进行远程桌面管理；

特权提升(甚至最新的Win 10)；

遥控摄像机；

密码收集(针对Chrome、Firefox、IE、Edge、Outlook、雷鸟和Foxmail)；

下载和执行任意文件；

实时键盘记录；

远程外壳；；

文件管理；

流程管理；

反向代理。

图一。Warzone上的广告。]木卫一

2.Warzone上的最新广告[...] PW

买家可以从以下三种订阅计划中进行选择:

入门级别:1个月，仅限大鼠；可用；

专业级:3个月，提供高级DDNS和客户支持；

Warzone Rat: 6个月，提供高级DDNS、高级客户支持和可以隐藏进程、文件和启动的Rootkit。

图3。Warzone上的订阅计划。] PW

同时，Warzone RAT开发者还提供了另外两种选择:

漏洞利用构建器–允许恶意软件嵌入DOC文件；

Crypter封装恶意软件以绕过安全检测。

图4。漏洞利用和加密计划订阅计划

此外，该网站上还有一个公开的知识库，其中包含使用Warzone RAT Builder的指南。

图5。战区知识库。] PW

通过搜索，Check Point研究人员在VirusTotal上发现了Warzone RAT的安装包(可能是Warzone RAT的买家泄露的)。

图6。泄露的Warzone RAT安装包

技术细节

初步分析，Warzone RAT是用C++编写的，几乎兼容所有Windows版本。

Warzone RAT的开发者也在WarzoneDNS上提供动态DNS服务[...] com，也就是说买家不受IP地址变更的影响。

值得注意的是，Warzone RAT可以绕过UAC(用户账户控制)攻破Windows Defender，将自己放在启动程序列表中。

UAC旁路

如果Warzone RAT以提升的权限运行，它将使用以下PowerShell命令添加完整的C:\ path，排除Windows Defender:

powershell Add-MP preference-exclusion path C:\

如果它没有以提升的权限运行，它将绕过UAC并以两种不同的方式提升权限——一种用于Windows 10，另一种用于旧版本:

对于Windows 10以下的版本，它将使用UAC旁路模块(存储在其资源部分)；

对于Windows 10，它会滥用sdclt.exe的自动权限提升功能(该功能在Windows备份和恢复机制的上下文中使用)。

图7。UAC旁路策略

停留很长时间

Warzone RAT会把自己复制到c: \ users \ user \ appdata \ roaming \。并将此路径添加到HKCU \软件\ Microsoft \ windows \ current version \ run。默认是images.exe，但是Warzone RAT的构建者允许购买者随意修改可执行文件的名称。

此外，它还将创建一个注册表配置单元HKCU \软件\微软\ Windows \当前版本\资源管理器\ UIF2 IS2OVK，并在其中的inst值下放置一个256字节的伪随机生成序列。

C2通信

Warzone RAT通过TCP在5200端口与C2服务器通信，数据包的有效载荷由RC4加密，密码为“warzone160\x00”。

图8。未加密数据包的布局

图9。9的回答。C2服务器

发送到C2服务器数据包包含以下数据:

MachineGUID的SHA-1值；

市场活动ID；

操作系统版本

管理员状态；

计算机名；

恶意软件的存储路径；

恶意文件MurmurHash3值；

RAM大小；

CPU信息；

显卡信息。

分析表明，bot ID是MachineGUID的注册表值hklm \ software \ Microsoft \ cryptography中的阿沙-1值。

通过接收来自C2服务器的命令，bot可以为攻击者提供以下能力:使用远程shell、RDP或VNC控制被感染的计算机、管理远程任务和文件、远程控制摄像头等。

标签

Warzone RAT虽然被描述为正版软件，但实际上是一种功能与其他RAT类似的木马病毒，可以通过其他恶意软件或垃圾邮件进行传播。

如今，越来越多的计算机病毒被作为恶意软件即服务出售，买家也可以从病毒开发者那里获得持续的技术支持。这些都大大降低了网络犯罪的门槛，几乎任何人都可以轻易进行新的恶意活动。

所以再次提醒您，要注意网络安全，及时更新系统和安装补丁，至少使用一款可信的安全产品。至少，不要随意打开任何来历不明的邮件或文件。