源自瑞典18岁少年、一个售价奋发的歹意软件:长途接见歹意软件Blackremote剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

源自瑞典18岁少年、一个售价奋发的歹意软件:长途接见歹意软件Blackremote剖析

申博_新闻事件 申博 80次浏览 未收录 0个评论

申博sunbet官网

申博sunbet官网将各种娱乐方式糅合,兼具游戏、直播等多种娱乐方式,给网民带来最新奇的娱乐体验,申博sunbet官网在网民群体中获得了一致好评,积攒了大量的人气。作为运营多年的网上娱乐平台,申博sunbet官网信誉度得到广大娱乐网民的一致认可,信誉度有所保证,且有品牌保障,多年的经验,包含最原创的娱乐,给你最简单的快乐,申博sunbet官网知道网民最想要什么,了解网民的心理需求,要做,就做最好的!要玩,就玩申博sunbet官网!

,

择要

9月,在研讨盛行的商品化长途接见东西(RAT)的历程当中,Unit 42的研讨职员发清楚明了一种新型、不曾发明过的RAT,在其公然出卖的第一个月内,我们在凌驾2200次进击中发清楚明了近50个歹意样本。在本篇文章中,我们对RAT的治理东西和天生东西举行剖析,同时还剖析了客户端歹意软件,并纪录了其背地的瑞典进击者,展现了其歹意软件的推行与贩卖历程。我们还发明这类RAT已在野外的歹意进击者被运用。

RAT不停晋级

在2019年9月的第一周,进击者最先运用Speccy和Rafiki帐户在地下论坛推行他的新型RAT(如下图所示)。发帖内容异常简朴,直接指向了他们的贩卖网站blackremote[.]pro。

在统一周,进击者宣布了一个YouTube视频,个中包含怎样布置RAT的申明。

源自瑞典18岁少年、一个售价奋发的歹意软件:长途接见歹意软件Blackremote剖析

在YouTube的申明中,包含指向他个人网站speccy[.]dev的链接。在视频中,进击者声称“这个RAT在运转历程当中完全不会被检测到”,个中包含一个“购置FUD加密顺序”的链接。假如是正当软件,没有任何理由会声称其“不会被检测到”或“被加密”,而歹意软件则常常会用上述两种体式格局来防备被反歹意软件产品检测到。

YouTube上面的形貌:

关于blackremote[.]pro

Blackremote RAT的贩卖站点blackremote[.]pro是在2019年8月19日注册的。

源自瑞典18岁少年、一个售价奋发的歹意软件:长途接见歹意软件Blackremote剖析

Speccy形貌了他的RAT:

“Black Remote Controller PRO是功用强大且完美的体系长途治理套件。借助个中包含的诸多功用,它可以为我们供应对长途盘算机的完全接见和掌握权,可以完成长途监控、接见或支配每一个运动和数据,就像坐在电脑眼前一样!”

与这个地下论坛中推行的其他歹意RAT一样,Speccy发起将该软件用于正当目标:
“该东西异常合适需要在特定体系上举行长途接见、监控和举行长途操纵以满足林林总总需求的用户,包含专业治理员、父母掌握、取证、监护、长途辅佐。Black将为用户供应一种能长途完成一切功用的精彩东西。”

然则,依据他们在宣扬历程当中提到的“没法检测”、“加密”等特性,以及功用中所包含的“暗码恢复”、“风趣的功用”,我们以为这一软件倾向于歹意软件。

Speccy和其他商品化的RAT比拟售价较高(如下图所示)。31天受权证书的价钱为49美圆,93天受权证书的价钱为117美圆,一年受权证书的价钱为438美圆。

购置历程运用种种加密钱银举行生意业务,运用第三方付出效劳vsell[.io]。

特性

在网站上,列出了这一RAT的细致功用

#长途桌面

以令人难以置信的低耽误实时检察长途桌面,支撑截图、录制.avi视频、掌握鼠标装备等功用,支撑多个屏幕。

#长途文件治理器

在长途主机的一切驱动器、文件和文件夹中,以最快的速率自在接见,能对任何范例的文件举行操纵。

#长途收集摄像头

可以庇护个人财产、监控、父母掌握,该功用可以完成多种需求。支撑拍摄照片,或将视频录制为.avi文件。

#文件传输

从长途盘算机上传或下载任何数据。支撑断点续传,没有传输速率的限定。

#按键纪录

实时或离线形式下纪录击键,然后检索日记。支撑一切键盘输入法,包含关键字搜刮功用。

#效劳治理

能列出长途盘算机上一切已住手的或正在运转的效劳,并能经由过程点击运转效劳或住手效劳。

#历程治理

监控长途盘算机上一切正在运转的历程,支撑停止历程、停息历程、恢复历程,或设置特定历程启动后的告警。

#长途音频

监听长途主机的麦克风装备,异常合适监听或收听长途用户交换的内容。

#注册表编辑器

阅读长途盘算机上完全的Windows注册表,检索或修正任何键或个中的值,支撑建立新的键值。

#谈天体系

可以建立一个与长途盘算机用户的初始化谈天会话,以追求协助或举行其他特定的操纵。

#关机/重启/注销体系

可以依据需要长途注销、重新启动或封闭盘算机。

#体系音讯

建立完全自定义的体系音讯、警报和提醒信息,并在长途主机上弹出显现。

#下载东西

供应自定义的网址,该功用可以从指定的URL下载并实行恣意文件,保存到特定途径并实行。

#暗码恢复

猎取一切保存在长途盘算机、阅读器、邮件客户端的暗码,同时也支撑猎取特定应用顺序的暗码。

#TCP衔接监控

监控长途盘算机相差站的一切运动TCP衔接,可以根据端口、历程举行阻挠,支撑马上阻挠。

#接见网站

可以启动任何网站页面,以取得支撑或满足其他任何特定需求。

#剪贴板治理器

接见、读取、写入或编辑长途盘算机剪贴板内容。

#剧本东西

长途建立和实行剧本,支撑VBS、HTML、BATCH、PowerShell。

#启动项治理

治理一切长途盘算机的体系启动项,可以经由过程多种体式格局举行增添、删除和修正。

#长途Shell

可以接见长途盘算机的Shell,险些对完成任何庞杂使命都显得至关主要。

#Windows治理器

可以治理长途盘算机上任何翻开的窗口、可见窗口或隐蔽窗口,对其举行封闭、最大化、最小化、隐蔽、显现、阻挠等操纵,支撑任何交互。

#已装置的软件

检察体系上已装置了哪些软件,关于相识怎样布置长途环境异常主要。

#Host文件

该文件关于Windows体系起着至关主要的作用,它可以重定向、阻挠、转换、关联IP或主机地点。自定义主机文件,偶然关于阻挠某些网站接见来讲至关主要。

#治理客户端

该模块支撑浩瀚功用,可以修正、更新、重新启动、停止已装置的客户端文件。客户端编辑器将许可我们自定义文件。

治理东西/建立东西

购置者将取得Blackremote治理东西/建立东西软件的Sendspace下载链接,以及6 MB大小RAR的解压缩暗码。

在对治理东西/建立东西举行解压缩后,将会装置9 MB大小的中心可实行文件BLACK-RC.EXE、两个资本库以及带有两个.wav文件的资本目次。

治理东西/建立东西的注册和登录:

百万Echo和Kindle装备遭到Wifi破绽影响

近年来,越来越多的物联网设备实现智能化。虽然很多厂商在产品中都内置了一些安全措施,但ESET研究人员发现即使是Amazon Echo也受到2017年的Key Reinstallation Attack (KRACK)漏洞的影响。研究人员还发现Amazon Kindle电子阅读器也存在类似的漏洞。 KRACK 攻击 2017年,研究人员Mathy Vanhoef和Frank Piessens发现目前主流WiFi网络中的安全协议WPA2标准中存在安全漏洞。KRACK攻击主要攻击4次握

在加载治理东西/建立东西后,将会为用户供应一个注册/登录页面(如上图所示)。Blackremote利用了第三方“CodeVEST”受权体系,该体系一样也在地下论坛举行售卖。受权体系经由过程衔接到codevest[.]sh来举行考证。“CodeVEST”好像现在已庖代“Netseal”,成为商品化歹意软件普遍运用的注册效劳。“Netseal”的作者Taylor Huddleston在2017年因贩卖商品化歹意软件“Nanocore RAT”而被控告。供应“CodeVEST”受权效劳的职员也从名为“Cyber Seal”的加密效劳中猎取收益。这一点表明,在黑产的生态体系中,不仅包含商品化歹意软件的卖方,还包含一些效劳供应商。歹意软件作者可以购置其他的受权效劳以及加密效劳,以保证其开辟的歹意软件可以有用售卖,同时保证歹意软件难以被检测出来。

CodeVEST:

Blackremote治理东西/建立东西许可用户依据其设置,构建新的客户端歹意软件,并掌握来自那些受感染客户端的衔接。

Blackremote治理东西/建立东西:

源自瑞典18岁少年、一个售价奋发的歹意软件:长途接见歹意软件Blackremote剖析

治理东西/建立东西许可用户定义客户端衔接时的自定义操纵、衔接日记以及与衔接的客户端举行交互的具体内容。

衔接选项:

衔接日记:

运动衔接:

Speccy声称的客户端掌握功用,在已衔接客户端的上下文菜单中已涌现。

掌握客户端:

源自瑞典18岁少年、一个售价奋发的歹意软件:长途接见歹意软件Blackremote剖析

Speccy现在正在主动开辟这一歹意软件。依据变动日记来看,按期会有一些革新,比方新增添的客户端权限提拔(如下图所示)。

Change Log:

源自瑞典18岁少年、一个售价奋发的歹意软件:长途接见歹意软件Blackremote剖析

客户端剖析

我们注意到,存在时候段类似的不一样本,它们具有雷同的文件大小。我们由此疑心,不管动态内容(比方C2信息,或差别的RAT选项)是什么,客户端建立历程当中的殽杂历程都能够会使特定Blackremote版本的一切客户端文件大小雷同。

经由过程运用多个殽杂东西(包含Agile.NET、Babel .NET、Crypto Obfuscator、Dotfuscator、Goliath.NET、SmartAssembly、Spices.Net和Xenocode),建立东西和客户端都受到了严厉的庇护。

野外流传状况

只管Blackremote是一个新型要挟,但停止本报告宣布时,我们已看到这一歹意软件已用于现实进击当中。在Speccy最先贩卖Blackremote RAT的一个月后,我们在针对Palo Alto Networks客户的2200屡次进击中,视察到近50个样本。

一个大客户?

值得关注的是,这些进击中的绝大多数都属于统一个歹意运动。文件doc00190910.exe(SHA256:2b3cda455f68a9bbbeb1c2881b30f1ee962f1c136af97bdf47d8c9618b980572)此前延续经由过程电子邮件举行流传,并且在2019年9月9日至11日时期到达峰值。该歹意软件运用renaj.duckdns[.]org(103.200.6[.]79)作为敕令和掌握(C2)效劳器。我们在凌驾1800次进击中发明运用过这一效劳器。

歹意运动受害者散布:

到了2018年终,我们在50多个Netwire、Nanocore、Quasar和Remcos商品化RAT样本中,都视察到了雷同的C2。

这清楚地申清楚明了,诸如Blackremote之类的商品化RAT的作者,怎样在完成歹意收集进击的同时取得收益。

总结

商品化RAT在互联网上已贩卖多年,其作者可以从中赢利,同时使歹意进击者可以流传自定义RAT建立东西建立的数千个歹意软件样本。

在该RAT涌现后的几天以内,我们定位到了与该歹意软件相干的个人,是一位来自瑞典的18岁男孩,这一发明能够将有助于政府实时采用行为。现在,Unit 42已完全肯定该职员就是歹意软件被后的进击者,并保证已将准确的身份信息供应给政府。但是,跟着该RAT“贩卖”时候的增进,RAT样本的建立数目和流传数目会随之增进,同时也会有其他歹意研讨者尝试破解该RAT并随便分发。最主要的一环就是尽早辨认并阻挠此类歹意软件的贩卖,以防备其散布,防止让大批要挟参与者都能打仗并运用到这一东西。

假如Windows主机实时装置更新,并布置垃圾邮件过滤,再举行恰当的体系治理,即可以有用下降该歹意软件的感染风险。现在,可以运用部份要挟防护平台检测Blackremote歹意软件,AutoFocus用户可以运用Blackremote标签跟踪此歹意运动。

Palo Alto Networks与我们的收集要挟同盟成员同享了我们的发明,包含文件样本和要挟目标。收集要挟同盟成员运用该谍报可以疾速向其客户布置庇护,并能体系性地袭击歹意收集参与者。有关收集要挟同盟的更多信息,请接见www.cyberthreatalliance.org。

哈希值

514b3d98c1a8cbd5ea08ff31e22700adb9ca0d93d9bc4d6a5232324f0f3e806d

39721fb2d55777eeb6bdfdc9068782894993d172bb92cbad6a525c130312ef11

c3075bced2e864ee7e693c19ecf1ed82cde0aae3d440e9ff2f37d3d6e20fdf0f

3eda427ad5816e6dcf077562a367f71e8bdf5aa931e594416ae445357c12b409

3265bb60b532005bc3535bdf7336bff1845aa5ed3306fd5dbb2ec884cb3d6323

744438c125ceb7a3a7e44cca9fd6b397e982d048f680f164abd46743fd64cd12

33a34ae9a757f6be754571e752a3ee9200153db16c34cf2fd5590ad616fbb04e

fb8b9fe377ccdef76645a081905137e3580eed1defdabbbf48a3d20f0dc760b4

0278145549af5cad9318d51e4c150afe2180b55f72194562885d5c8f9526f465

ea5384db27a27b826c100bbc2535561ea61bf4f44eb4eb93243740188799d675

123539b0eaff1a23606d3716cdc0c73618af6f0cd821ae33863d0f47b2267dbf

f7b165903f6f9b979e84399ce4e1b85ed2927740771d85a7b8c85203641a08a1

93bfbd4b12a17732c8b7e66c554f98187184c6d845bd02e0dbb2104ce8da0453

469d8b2cced859f57b535363307c1e29c0bf0342d14ce0da109a40493a441b62

ada653c948875a9c1ca588251b317d8e971fdf980252d92e36d59f14f5eb9ab9

c207cf50305f126451e2dc5493d83614fdf801541d011e5002ee5daea2b4433b

57a15cc236e4d2ba6e08b062a75671b8a674e0d8498d87e48652c778ea263d49

3875545099276f2b34c3752b177b6d90a2eeb47148ddfb559a4d076d0f40716a

e1bf5d2ef3a4f922f9a15ab76de509213f086f5557c9e648126a06d397117d80

ed7693d9b1b069d39451002bc1df06bf4e123926fa34abb6afeb9a18d6d90dcd

901e06cd91adb7255d75781ef98fac71d17f7bed074a52147bdbd42ea551b34f

9c93b768b5261194ad207c0e92e9767e70ba38203f24f2909e1b39a9a1d6570c

129491bfdd9a80d5c6ee1ce20e54c9fb6deb2c1e1713e4545b24aa635f57a8b9

931839ee649da42b0ee3ac5f5dfa944b506336c7f4e5beb3fc07a6b35a7e6383

0908f8fbe1e3a77d941ae83fe3677d103d86d6e59a6ae4530eadba8af7fc1b3a

69aaaf148a132385512f66d7668b045d6467f8639a3ef7460e20ce0627bc84fc

f6ae66a8a6357d7622463db9953ae164d496e7f5ee0dfe2c8e3550a231f25078

c5a78bf01ab2e44c7dba3a363f2eda51cf648e904f2beb47d6cf3112368ff20c

f83e25cf2b2c2f2d0a14e3f538c11f70135ee8ec158446a51bb0f2d999765267

cb423b73ae3e51195abbcf8bc1f2655d61436825815089b92e843b570ac7c86d

ee20db296c7c4cf3ca6db0c739f1579f554a447b6c1e2b343b22d341f288662f

a4bc7d42dd64df3502b7f8c2335c64eba7a484479fc8c2dc8a4aa448f10354b3

756efcbd2767c5499b6f09a089033c82050459fc2999d3ce79caa25746693e26

117cf46ae69134dbe0c8a1d5f4cac92b46c15ea4945929df3880c0ac63e158f3

e5366365852a953a1747ab8a5d721c2536c5671c07bfecf648fb2cf6a13f2dc0

0c63983cb38d187c187f373852d7b87ff4e41ea0d77d75907aa3388ad957f38f

e54531896dbd100fec41cfc89b06f2afa1efd4077d1f197b1b88f74371135436

c38006115bd7c22151c4e31d8d4ed6ec114c2aaf1c7c0da12ef7b44f96fc58d6

0f66acc9883b284580980020d4a48557b2fe38312ca80db97c77cc2fa78c51fb

77fe670ed011e547db72207ba5849b9f618185b52e0ae766c23ef675b116b252

2b3cda455f68a9bbbeb1c2881b30f1ee962f1c136af97bdf47d8c9618b980572

105cab9c9604238c05be167c6d8d47cd2bc0427b07ede08c5571b581ebd80001

cc795b94cac222afc69749359d8b17d9fb7a7fb6e824d43008c1674c0d146929

1737cf3aec9f56bb79a0c4e3010f53536c36a1fbeeedea81b6d7b66074ecffbe

本文翻译自:https://unit42.paloaltonetworks.com/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明源自瑞典18岁少年、一个售价奋发的歹意软件:长途接见歹意软件Blackremote剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址