螳螂捕蝉黄雀在后，免费散播Cobian远控工具背后的秘密

天下没有免费的午餐。

这句话也适用于那些想要寻找黑客工具的人。如果你想在网上找个现成的入侵工具的话就要知道，很多号称黑客“瑞士军刀”的工具都是骗人的。

最近，多个地下黑客论坛出现一款免费的远控生成器，这款工具内置了一个后门模块，能够让工具作者获取那些受害者的数据。

这款远控被命名为Cobian，今年2月已经开始传播。软件与njRAT和H-Worm有很多相似点，后两者至少在2013年已经存在。

来自Zscaler的ThreatLabZ研究人员发现这款恶意软件，它可以帮助那些黑客小白轻松制作自己版本的Cobian远控。

当黑客用这款免费工具创建自己版本的杀毒软件时，然后通过入侵网站或者钓鱼邮件散播，这样黑客就可以把那些感染的主机纳入到自己的僵尸网络中。

Cobian远控可以在被入侵的电脑中记录键盘、截屏、录音或者通过摄像头录像，还可以安装卸载程序，执行命令、使用动态插件，管理文件等。

螳螂捕蝉黄雀在后

如果你真的相信了上面说的这些功能，你就上当了。

这些论坛传播的远控制作器都有一个隐藏的远控木马模块，它会安静地连接一个Pastebin页面，这个Pastebin充当了C&C服务器。

这款工具的原作者可以随时随地对所有远控发送指令，无论是那些黑客小白还是那些真正被感染的用户都会被控制。

“很讽刺，那些二级用户，就是那些用这款工具散播病毒的用户们，自己被原作者耍了。”Zscaler安全研究部高级主管Deepen Desai在博文中写道。

“原作者应该是使用了众包模块，用以建立超大的僵尸网络并且把那些二级用户也囊括进来。”

Cobian原作者依赖那些黑客小白制作病毒并且散播，之后作者就可以通过后门获得所有那些被入侵主机的全部权限。他们还会通过修改C&C服务器配置直接把那些黑客小白删除，让他们无法控制那些被入侵的主机，有点过河拆桥的意思。

最近观察到的Cobian远控案例是巴基斯坦的一个国防和电信解决方案公司网站被攻陷后被挂马的。

警惕后门攻击

前段时间，知名主机管理软件Xshell也同样曝出过后门，黑客入侵了相关开发人员的电脑，在源码植入后门，导致NetSarang的官方版本受到影响。

植入后门的优点在于，这种攻击手法更加方便，并且更加具有诱惑性。