螳螂捕蝉黄雀在后,免费散播Cobian远控工具背后的秘密

天下没有免费的午餐。

这句话也适用于那些想要寻找黑客工具的人。如果你想在网上找个现成的入侵工具的话就要知道,很多号称黑客“瑞士军刀”的工具都是骗人的。

最近,多个地下黑客论坛出现一款免费的远控生成器,这款工具内置了一个后门模块,能够让工具作者获取那些受害者的数据。

这款远控被命名为Cobian,今年2月已经开始传播。软件与njRAT和H-Worm有很多相似点,后两者至少在2013年已经存在。

来自Zscaler的ThreatLabZ研究人员发现这款恶意软件,它可以帮助那些黑客小白轻松制作自己版本的Cobian远控。

当黑客用这款免费工具创建自己版本的杀毒软件时,然后通过入侵网站或者钓鱼邮件散播,这样黑客就可以把那些感染的主机纳入到自己的僵尸网络中。

Cobian远控可以在被入侵的电脑中记录键盘、截屏、录音或者通过摄像头录像,还可以安装卸载程序,执行命令、使用动态插件,管理文件等。

螳螂捕蝉黄雀在后

如果你真的相信了上面说的这些功能,你就上当了。

这些论坛传播的远控制作器都有一个隐藏的远控木马模块,它会安静地连接一个Pastebin页面,这个Pastebin充当了C&C服务器。

这款工具的原作者可以随时随地对所有远控发送指令,无论是那些黑客小白还是那些真正被感染的用户都会被控制。

“很讽刺,那些二级用户,就是那些用这款工具散播病毒的用户们,自己被原作者耍了。”Zscaler安全研究部高级主管Deepen Desai在博文中写道。

“原作者应该是使用了众包模块,用以建立超大的僵尸网络并且把那些二级用户也囊括进来。”

Cobian原作者依赖那些黑客小白制作病毒并且散播,之后作者就可以通过后门获得所有那些被入侵主机的全部权限。他们还会通过修改C&C服务器配置直接把那些黑客小白删除,让他们无法控制那些被入侵的主机,有点过河拆桥的意思。

最近观察到的Cobian远控案例是巴基斯坦的一个国防和电信解决方案公司网站被攻陷后被挂马的。

警惕后门攻击

前段时间,知名主机管理软件Xshell也同样曝出过后门,黑客入侵了相关开发人员的电脑,在源码植入后门,导致NetSarang的官方版本受到影响。

植入后门的优点在于,这种攻击手法更加方便,并且更加具有诱惑性。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-09-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏魏艾斯博客www.vpsss.net

HostXen-美国西海岸 Xen CPU2 核 内存 2048M 35G SSD 硬盘 5Mbps 不限流量

48940
来自专栏安恒信息

斯诺登揭开英国通讯总部“肮脏把戏”

NBC News日前又从斯诺登曝光的文件中发现了更多惊人内幕。 据了解,斯诺登提供的文件中揭露了英国通讯总部(GCHQ)怎样将目...

29860
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(185)-FI-157应收账款

FI157应收账款 该业务情景处理应收帐款中客户的过帐会计数据。客户在此处对数据进行排序,使数据对其他区域(如销售和分销系统)可用。当您过帐应收帐款中的数据时,...

33590
来自专栏FreeBuf

爆料 | 安卓“间谍门”事件愈演愈烈,又一家中国公司被曝在300万台安卓设备中植入rootkit

今年11月15日左右,美国多家媒体爆料上海广升的固件OTA方案存在后门,其固件会每隔72小时就把你所有的短信内容、联系人等都发送到中国服务器,这种软件监视用户去...

22170
来自专栏*坤的Blog

史融资2.5亿的“自主国产”红芯浏览器,其实是个套壳Chrome

今天早上看到朋友发的浏览器图片,感觉很好奇,然后就看了下,感觉文章还不错,就转发了下,然后下载浏览器着实花了不小心思,最后文末添加了红芯浏览器转存在蓝奏云盘的下...

13220
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–总账(156)-2流程概览

1 用途 总帐会计主要用于提供外部会计核算和科目的综合情况。在与公司所有其他操作范围相集成的软件系统中,记录所有的业务交易(初始过帐和内部会计核算中的结算)...

39050
来自专栏企鹅号快讯

如何实现敏感无线系统安全?

2014年8月,美国国土安全部(以下简称“DHS”)首席信息安全官办公室发布了DHS 4300A-Q1(敏感系统手册)文件。文件仅针对敏感无线系统的安全问题,不...

22350
来自专栏FreeBuf

如何建立有效的安全运维体系

随着互联网行业的蓬勃发展,国内的黑客产业链早已达数十亿级别。除了各类网络攻击之外,一些黑客入侵情况也并不鲜见。这种事件相对于网络攻击有着更大的破坏力,系统被入侵...

64880
来自专栏安恒信息

Rapid7:IE 0DAY漏洞正活跃于地下

网络罪犯正在活跃的使用地下放出的漏洞代码进行IE 0Day的攻击。 目前仍运行和使用IE浏览器的商业机构应当做出更好的预防工作,在近期的IE 0Day漏洞利用代...

27940
来自专栏*坤的Blog

融资2.5亿的“自主国产”红芯浏览器,其实是个套壳Chrome

今天早上看到朋友发的浏览器图片,感觉很好奇,然后就看了下,感觉文章还不错,就转发了下,然后下载浏览器着实花了不小心思,最后文末添加了转存在蓝奏云盘的连接了.

20630

扫码关注云+社区

领取腾讯云代金券