上周,我稍微讨论了一下Flame木马,以及一般用户需要担心被它感染有多严重。国家资助的RAT恶意软件,比如Flame,很可能不会感染普通用户,即使有很小的可能,恶意软件背后的操作人员也可能会在被发现之前删除木马。它的目的是非常有针对性的网络间谍活动,而不是窃取你的Facebook密码。

那么,你是否完全安全,不受像Flame这样的恶意软件的影响呢?不完全是。除去国家支持的Flame,你就得到了RAT或远程管理木马,每天都有很多这样的木马被用来监视普通人。在你太害怕之前,Malwarebytes反恶意软件检测和删除这些必威平台APP威胁一直以来,所以不要太担心成为受害者,只要你正确地保护你的系统。

这篇博文是我打算用的众多博文之一:

  • 讨论一些目前在野外看到的RAT恶意软件
  • 他们能做什么
  • 它们是如何工作的
  • 如何保护自己不受伤害

第一篇博客是关于DarkComet的,这是一个免费的远程管理“工具”,由来自法国的独立程序员和计算机安全专家DarkCoderSC开发。他宣称DarkComet是一种工具,而不是木马,因为它有许多有用的功能,可以用于在非常近的级别上管理网络。然而,他也提到他的工具经常被黑客使用,因此它经常被反病毒引擎检测为恶意的。虽然该工具是免费下载和使用的,但他提供了“VIP”服务,用户可以直接获得支持、更新产品信息,还可以发布新想法或软件bug,所有费用为20欧元或25美元。

特性

火焰恶意软件可以做很多事情,虽然没有完全分析,我们知道它可以截屏,修改/创建/删除文件和执行键盘记录器。然而,大多数rat鼠的功能是将这种功能成倍增加。《暗黑彗星》也不例外;它可以执行超过60种不同的服务器端功能,这意味着它可以在受感染的系统上执行/监视/控制的事情的类型。

注意:为了讨论rat,您需要改变“客户-服务器”的通常定义。在这种情况下,“服务器”是运行在受感染系统上的RAT植入程序,而“客户端”是攻击者使用的控制器应用程序。

下面是这只老鼠能做的一些非常恶劣的事情:

  • 找出所有系统信息,包括正在使用的硬件和操作系统的确切版本,包括安全补丁。
  • 控制当前在系统上运行的所有进程
  • 查看和修改注册表
  • 修改Hosts文件
  • 从远程外壳控制您的计算机
  • 修改您的启动流程和服务,包括添加一些自己的
  • 在系统上执行各种类型的脚本
  • 修改/查看/窃取你的文件
  • 将它自己的文件放到您的系统中
  • 窃取你储存的密码
  • 听你的麦克风
  • 记录你的击键(废话)
  • 扫描你的网络
  • 查看您的网络共享
  • 乱搞你的MSN Messenger /偷你的联系人/添加新的联系人!
  • 从你的剪贴板上偷取(你复制的东西)
  • 控制打印机
  • 锁定/重新启动/关闭计算机
  • 更新植入物的新地址以信标或新功能

这些只是这个婴儿能做的一部分;我省略了几个大的,因为我想更详细地介绍它们。而且,它们是我的最爱!

有趣的功能:

许多rat包含了“有趣的功能”去扰乱受害者的系统(和思想)。在许多情况下,这些内置功能是为了捉弄朋友,或者只是为了以不幸感染的用户为代价来取乐。DarkComet有多个“有趣的函数”,我认为讨论这些函数会很有趣,并向您展示它们的截图。

有趣的经理

乐趣管理器是一组不同类型的乐趣函数,攻击者可以使用它来攻击用户:

它包括:

  • 隐藏桌面——隐藏所有图标,使它无法在桌面上右键单击。
  • 隐藏时钟-不言自明
  • 隐藏任务图标——在开始栏右侧的小框中
  • 隐藏系统托盘图标-隐藏图标并打开任务栏上的应用程序按钮
  • 隐藏任务栏-自解释
  • 隐藏开始按钮-只在Win XP工作
  • 禁用开始按钮(仅限XP) -灰色的开始按钮,禁用它。
  • 禁用任务管理器-禁用Windows任务管理器(当你按Ctrl+Alt+Del)
  • 打开/关闭CD托盘-自解释

钢琴

钢琴的功能就像它听起来一样,能够演奏一种类型的钢琴,可以配置为在不同的八度演奏。该特性的另一个功能是能够以特定频率(Hz)和自定义持续时间(Ms)播放自定义声音。这个功能的目的(就我所知)只是为了惹恼人们。

发送消息框

这是一个非常简单的函数,但可能会在很多层面上干扰用户;它基本上允许攻击者(或管理员)为用户创建一个自定义消息框,就像通常会看到的错误或信息通知。这个特性的有趣之处在于,您不仅可以创建属于系统的消息框,还可以创建属于系统上的任何活动Windows的消息框,例如记事本或Windows Media Player。然后,这些消息看起来像是来自应用程序,这可能会让用户相信应用程序是恶意的,而不是真正的恶意软件在幕后运行。

微软的读者

这个功能并不是什么新东西,它比任何东西都有趣。如果你用过Mac电脑,你就会知道文本编辑器的一个功能是大声读出你写的文本。Microsoft Reader函数也不例外,它将向毫无戒心的用户读取任何类型的攻击者。我可以想象当用户通过扬声器听到邪恶的电子声音对他们说“我拥有你”时,他们会有怎样的震惊和恐慌。

远程聊天

我认为这个功能真的很有趣,它让操作员能够在两端(服务器和客户端)创建一个聊天窗口,以便与受感染的用户进行对话。这有很多合法的网络管理目的,但它确实可以迷惑受害者。

所以这总结了所有有趣的功能,我认为这将是一个好主意讨论它们,因为坦白地说,rat是我发现的唯一有幽默感的恶意软件,并不是所有的恶意软件都是用来窃取信息或崩溃系统,它很好地指出,有些仍然喜欢搞乱人们,就像昨天的黑客做的一样,为了好玩。

卸载应用程序:

不幸的是,我们需要偏离这篇博文轻松的一面,谈谈DarkComet拥有的一些更可怕的功能。RAT的一个非常强大但也很危险的功能是可以随心所欲地卸载应用程序。攻击者将收到所有已安装应用程序的列表,并获得卸载它们的选项。这可以用于多种原因;然而,最大的问题之一是禁用安全产品。下面是可能出现的最糟糕情况的一个例子:

您有一个反病毒引擎运行在您的系统上;你花了很多钱买的,所以你有安全感。它配有电子邮件扫描仪,所以你不介意打开任何你不信任的电子邮件或链接。

你收到一封来自陌生来源的电子邮件,告诉你点击一个链接,看一个搞笑的LoLCat视频。你这样做,就会被引导到一个虚假的YouTube页面;你耸耸肩,觉得没什么,继续你的工作。

你不知道的是,这个假页面利用了一个零日浏览器漏洞,用植入的DarkComet感染了你的系统,这是恶意软件的一个新变种,因此,你的反病毒还没有写签名来检测它。RAT控制器做的第一件事是卸载你的防病毒引擎,允许它做任何它想做的事情而不被检测到。

Uninstall功能的另一个方面是删除为保护操作系统中的安全漏洞而设置的安全补丁。这可能会导致DarkComet删除现有的安全措施,并能够利用您操作系统中的旧漏洞,允许更多恶意软件下载到您的系统并执行。现在你完全被感染了,你的选择是有限的。

远程桌面:

这是一个非常整洁的功能,你不经常看到其他rat鼠使用它。它使攻击者不仅能够看到受感染用户的活动屏幕,而且还能够控制鼠标和键盘,就像他们坐在系统本身前面一样使用它。

这个功能对受感染的用户来说可能是最危险的,因为它超出了Uninstall功能所能做的,它可以将DarkComet可执行文件设置为“允许”,而不仅仅是卸载反病毒引擎。这意味着即使用户系统完全感染了DarkComet, AV引擎也不会费心去尝试阻止它。这是许多用户可能永远不会知道的事情。

该功能的缺点是噪音太大,想象一下在玩一款在线游戏时,你将从远程服务器接收数据以查看游戏中发生的情况和其他玩家的行动,然而当你与游戏本身进行互动时,你也将发送大量数据。这与正在运行远程桌面的情况是一样的,在这种情况下,可能会出现严重的网络延迟,对于可能正在运行网络监控软件的有经验的计算机用户来说,这是非常错误的可疑线索。

分布式拒绝服务

正如我前面提到的,DarkComet被宣传为帮助控制网络中的系统的网络管理工具。到目前为止,我们在这里看到的大多数功能(除了有趣的功能)都可以用于这一目的,你不能真正质疑RAT的用途和目的。然而,我有一个问题:

考虑到这是一个远程管理工具,用于好的和什么不....为什么它有ddos功能!?

你可能知道,DDOS的意思是分布式拒绝服务,是一种攻击,多个系统(通常感染了僵尸网络恶意软件)会向一个位置发送多个网络数据包,试图使接收web服务器过载,使其无法响应合法请求。这是一种非常著名和常用的黑客攻击,然而,它是DarkComet附带的众多功能之一。

上面的屏幕显示了“用户”选项卡,其中列出了所有当前受控制的系统,如果你右键单击其中一个用户条目并向下滚动到“额外广播命令”,你会看到一个DDOS功能菜单。它包括HTTP、Syn和UDP攻击。当点击它将请求类型的数据被发送和/或IP/URL和端口的目标:

我想不出一个网络管理员需要尝试用他/她控制的网络作为武器来搞垮一个网络服务器,但我不从事网络管理工作,所以我知道什么?

摄像头控制

虽然这不是一种新的或独特的功能,但网络摄像头控制仍然是一种非常危险和有效的监视他人的方式。

这些可以从摄像头控制功能获得的网络摄像头视频/图像的可能用途包括网络间谍、受害者勒索、正常的变态行为,在人们不知情的情况下监视他们,以及最糟糕的所有儿童色情。虽然不是每个使用这个工具的攻击者的意图,但它可以用来传播或出售儿童色情,因此,在我看来,这个功能是最糟糕的一个。

暗彗星是如何工作的?

好问题!大多数rat通常在植入物中包含非常复杂的编程,包括一个大型的命令检查算法网络,该算法从控制器获取输入,并基于该输入执行特定的功能。功能通常被尽可能地压缩以使植入二进制代码更小,然而它们通常仍然比其他类型的恶意软件更大,这些恶意软件的功能更少。例如,一般恶意软件的大小范围在5KB到15KB之间,偶尔有20KB的异常值。我为DarkComet创建的植入二进制样本,即使在打包之后,也是352KB。如果你还记得的话,Flame RAT是20MB;所以相比之下,暗彗星是很小的。

以下是DarkComet在从C2或控制器执行命令时发生的情况:

  • 每20秒在C2上植入信标,以签到并等待更多命令
  • 当操作员需要时,C2将使用一些自定义流量加密方案发送回一个命令。
  • 该命令被植入体接收,解密,然后进行分析:
  • 真实性-意思是一个ID或其他值,可以确认植入物从正确的源接收到命令
  • 命令—所要求的确切功能,例如,列出活动进程或禁用任务栏等。
  • 参数——当执行请求的功能时,植入器应该考虑哪些额外的选项
  • 植入体将接受这些解析过的信息并执行功能
  • 功能执行的输出将以相同的加密形式发送回C2
  • C2将解密数据并将其呈现给操作员

信标或信标响应是网络检测的关键要素之一。由于DarkComet是一个重复的字符串,并且加密只以一种固定的方式扭曲值(例如XOR),因此当植入不活动时,发送到C2或从C2返回的确切数据将保持不变。这些值可用于开发标记可能感染的网络检测签名。从网络安全的角度来看,下一步将是追踪被恶意软件感染的确切系统,并相应地清除它。虽然这种检测通常只在大型组织或政府的网络上进行,而不是真正的单个用户。

此时您可能会想:“好吧,如果网络检测的东西工作得很好,为什么不将其用于Flame呢?”

答:我认为,在检测到感染(押韵)和对Flame恶意软件的初步分析之后,它已经就位,以跟踪哪些系统受到了感染,以及正在发送什么样的数据。然而,在检测到Flame之前,恶意软件极有可能将其信标保持尽可能远的距离,甚至可能通过一系列其他受感染的系统发送数据,然后再发送到C2上。这样可以降低交通流量,不会抛出任何可疑的旗帜。

继续向前,我们知道DarkComet如何与C2进行对话,如何处理数据并执行其功能,这很好,但DarkComet是否为每个下载的控制器使用相同的植入物?答案是否定的,这个答案适用于大多数老鼠。植入物中需要配置某些东西,例如信标地址、目标规格和所需的感染级别。DarkComet也不例外,它自带植入构建工具。

有两种类型的植入创建工具(或如它所称的,服务器模块),一种是快速开发的极简式工具,另一种是需要RAT专业知识的完整编辑器。

极简主义:

植入生成器的极简版本包括以下配置:

  • 植入ID
  • 信标回地址
  • 要使用的端口——默认是1604,它在过去用于Citrix相关的操作,选择它可能是因为它用于接收的流量很大。
  • 安装目标路径和“KeyName”
  • 拖放要使用的图标的区域。

它是有用的即时创建植入,但我认为大多数用户可能会使用完整编辑器代替。

编辑器:

完整编辑器在创建植入物时为用户提供了更多的选项,下面是这些选项的列表:

  • 用于进一步向控制器验证植入物的安全密码
  • 要使用的进程互斥锁
  • 服务器ID
  • 要保存设置的配置文件名称
  • 劫持进程以绕过防火墙限制的能力
  • 要信标到的地址/端口
  • 安装位置和文件名
  • Keyname
  • 选项:
  • 在第一次执行后销毁安装二进制文件
  • 更改文件创建日期
  • 在系统上创建持久性
  • 删除文件和文件夹属性(隐藏/系统)
  • 能够在安装时显示带有文本的消息框
  • 各种隐身和持久功能或Rootkit功能
  • 能够在安装时禁用各种系统功能
  • 使用脱机键盘记录程序或将键盘记录程序数据发送到远程FTP服务器的选项(带有FTP配置选项)
  • 对Hosts文件的安装修改-重定向流量
  • 加载“插件”的能力
  • 添加要在安装时删除和执行的文件(附加)
  • 为二进制文件使用哪个图标
  • 压缩或封隔器使用:
  • UPX
  • MPRESS
  • 要使用的文件扩展名:
  • . exe
  • com
  • 。bat
  • .pif
  • 。可控硅

选择太多了!这显然是创建植入二进制的最佳方法。植入安装二进制文件功能的可怕之处在于,即使没有被阻塞到C2,这个文件也可以执行足够的功能,从而完全感染您的系统。

服务器下载:

操作人员在创建感染二进制文件时的最后一个选项是服务器下载程序。我认为这是一个简洁的小工具,可以自动创建一个轻量级(2KB)应用程序,该应用程序可以从给定的远程URL自动下载并执行真正的植入安装二进制文件。当欺骗用户下载并执行它时,它可以很容易地将其隐藏为非恶意的。给操作符的选项是:

  • 要下载的文件的URL
  • 要使用的扩展(与完整编辑器相同)

如何保护自己:

rat的传播有多种方法,至于DarkComet,一些最大的方法是:

  • 驾车袭击
  • 盗版软件下载
  • 社交网站

路过攻击指的是当访问一个网页时,嵌入在页面中的恶意脚本会执行,通常会利用你系统上的某种漏洞,在你不知情的情况下抛出恶意软件并执行它。驱车攻击通常被网络犯罪分子用来传播恶意软件。使用飞车攻击来传播《DarkComet》似乎没有什么意义,因为它很容易被发现和移除。然而,正如DarkCoderSC网站上为DarkComet所指出的那样,购买一个VIP账号将为攻击者提供在DarkComet发布之前的版本更新。因此,新的版本或变种还没有被发现,有更大的机会通过AV扫描仪,所以它是有意义的尝试和感染尽可能多的系统,在一切都太晚了。

Warez下载,或者下载非法/破解软件有时会导致下载一些你不希望下载的东西,比如DarkComet恶意软件。通常被缺乏经验的黑客或“脚本小子”用作一种方法,宣传一个被破解的软件,实际上提供恶意软件是常见的做法,因为DarkComet如此容易获得、设置和运行,难怪它会以这种方式传播。我可以想象,大多数参与这种活动的人(我不判断)不使用AV扫描仪的原因有很多(偏执?),因此不仅是DarkComet和任何恶意软件的伟大目标!

社交网站是传播恶意软件的好方法,它可以一次性向一群人发送链接,并希望其中一些人点击它。也许是黑进某人的账号,伪装成另一个用户发布链接。不管怎样,这都是传播恶意软件特别是RAT恶意软件的好方法。

幸运的是,并不是一切都失去了。如果你安装了Malwar必威平台APPebytes Anti-Malware Pro,可以做一些事情来保护你。

  • 多亏了Malwarebytes web保护模块,你被发送到的带有漏洞的网站永远不会加载必威平台APP
  • 必威平台APP与其他反病毒软件供应商相比,反恶意软件定义在更深层次上扫描独特特征,更有可能检测到同一恶意软件的新变体。
  • 必威平台APP反恶意软件主动保护模块会检测到恶意软件正在你的系统上执行,并根据其功能阻止它进一步。
  • 您可以下载Malwarebytes必威平台APP Anti-Malware并安装它,即使在被感染后,也可以检测和删除威胁。

最重要的是,RAT感染可能是有针对性的攻击的产物,尽管不总是如上所述的情况。它们确实会产生很多噪音,通常情况下,杀毒软件/反恶意软件会检测并删除任何感染。然而,这只是许多其他类型的rat病毒中的一种,虽然它有能力做恶意的事情,但它是网络管理的一个非常好的选择。

我们将在本系列中讨论的其他一些rat就不那么友好了,它们被开发出来的唯一目的是进行间谍活动,这在使用的感染方法中很明显。作为一般的预防措施,这里有一个标准的安全实践清单,你可以做以保证自己的安全:

  • 始终保持防毒软件/反恶意软件的最新定义
  • 总是更新你的操作系统
  • 永远不要点击来自你不认识或不信任的人的电子邮件中的链接
  • 始终为浏览器和扩展应用程序(Adobe产品、Java等)保持最新的安全补丁。
  • 如果可能的话,完全禁用浏览器中的Java功能,这样就不可能通过Java被利用。

虽然这些措施看起来很简单,但它们是对系统最好的保护,同时不会耗尽您执行标准任务或您的钱包的能力。