RAT远程访问木马主控端全网探测分析

RAT 简介

远程访问木马(RAT，remote access Trojan)是一种恶意程序，其中包括在目标计算机上用于管理控制的后门。通常攻击者会将远程访问木马捆绑在正常软件上提供到互联网或者利用计算机漏洞入侵电脑植入远程访问木马，普通用户在浏览网页下载的正常程序软件时不易发现(如游戏程序，办公软件等)也可以通过电子邮件附件发送远程访问木马。一旦主机被植入远程访问控制木马，入侵者可以利用它来向其他易受感染的计算机分发远程访问木马，从而建立僵尸网络。

因为远程访问木马能进行管理控制，入侵者几乎可以在目标计算机上做任何事，其中包括:

 监视用户行为，截屏等。

 访问机密信息，如信用卡和社会安全号码。

 激活系统的摄像头和录音录像。

 传播病毒和其他恶意软件

 勒索软件，加密硬盘数据。

 植入挖矿程序。

 删除、下载或改变文件和文件系统。

人们往往很难发现自己是否被远程访问木马(RAT)感染，因为它们通常不会将进程或任务，显示在系统进程任务列表中。它们执行的行为类似于合法程序。此外攻击者设计远程访问木马时为了对抗杀毒软件远程访问控制木马会使用更复杂的技术来隐藏自己或者卸载掉用户电脑上的杀毒软件阻止杀毒软件运行。本报告从全网角度探索与分析远程访问木马主控端。

背景案例

在网络安全事件爆发背后，往往都会涉及到远程访问控制木马。因为攻击者最终需要使用远程访问木马主控端来控制受感染的机器，这也说明探测主控端远程访问木马风险的必要性。通过分析出具有高威胁的 IP 反向推算哪些 IP 曾经连接过是否已经中了木马。在实际的案例中一个远程访问控制主控端可以控制大量受感染的个人 PC或服务器以及物联网设备。特别是近年来 IOT(物联网,英文名称是:“Internet of things)的发展导致远程访问控制木马可以通过一个漏洞感染更多物联网设备并使用远程访问木马，来控制物联网设备。所以每发现一个主控制 IP都有可能已经控制了几千，几万，几十万台，几百万的互联网资产设备。通常情况下网络安全报告中会充分分析受感染情况很少会分析主控端分布情况，这也导致事件最终很难找到是谁控制了这些受感染的机器。以及全网中存在多少主控制?

2018 年 ADB.Miner 挖矿僵尸网络感染迅速扩张:中国成重灾区

研究人员表示，ADB.Miner是一种新型的安卓蠕虫，该蠕虫可以借助安卓设备上已经打开的adb 调试接口传播，初期传播的增速很快——约每12小时翻一番，仅用 24小时就感染了超过 5000台安卓设备，这些被感染 的设备正在积极尝试传播恶意代码。最早的感染时间可以回溯到2018年1月 31日左右，2月3日 15:00的流量 达到平时的3倍，24:00达到平时的10倍。截至2月 5日 15:00，ADB.Miner.的日活感染量在增长到7千后不再快速增长，这个数字已经保持稳定了超过20 小时，研究人员认为蠕虫已经过爆发期进入稳定期。受感染的设备主要分布在中国（39%，包括中国香港地区和中国台湾地区）和韩国（39%）

2018年门罗币挖矿僵尸网络感染 50多万台Windows 计算机

超过52.6万台Windows计算机（主要为Windows服务器）受门罗币挖矿软件的感染。其幕后组织操纵 着迄今为止规模最大的门罗币挖矿僵尸网络。Smominru的操纵者利用不同技术感染机器，其中主要依靠使用 “永恒之蓝(CVE-2017-0144)”利用代码，不过还部署了 EsteemAudit(CVE-2017-0176)。这两个漏洞都是为了 控制运行未修复的Windows操作系统的设备。正如GuardiCore公司指出，该僵尸网络不仅针对Linux机器上的MySQL服务器，还针对Windows服务器上的MSSQL数据库。

2018年“捉迷藏”新型IoT僵尸网络携1.4万台“肉鸡”强势来袭

E安全 2018年 1月 26日讯 网络安全公司Bitdefender的安全研究人员发现新型 IoT僵尸网络“捉迷藏”（HNS）。专家称，该僵尸网络于 2018年1月10日初次现身，1月 20日携大量“肉鸡”强势回归。截至1月25日，HNS的“肉鸡”数量已从最初的12台扩充至1.4万台。由于HNS是新晋IoT僵尸网络，其创建者会探索新的传播方式和“肉鸡”管理技术，因此还处在不断变化的状态当中。专家表示，由1.4万个“肉鸡”组成的僵尸网络不容忽视，因为一般能够有一定“杀伤力”的僵尸网络，根本不需要几万个肉鸡，四五千就足矣。

2017年专家意外发现新僵尸网络全球超百万组织或已被感染

2017年 10月21日消息，研究人员发出警告称，全世界有多达一百万个组织已经受到一种全新计算机僵尸 网络的感染。据英国网络安全公司的CheckPoint称，已经发现了一种全新的僵尸网络，能够控制物联网设备，最主要是互联网路由器和远程遥控摄像头。该安全公司在本周发表的一份报告中称，新一波互联网风暴即将到 来。研究表明，这些新的僵尸网络正以较快的速度发展，而且有可能引发与去年“Mirai”相同形式的网络攻击。CheckPoint称：“虽然技术方面的分析让我们怀疑这一僵尸网络可能与 Mirai存在联系，但是这次是一种全新的僵 尸网络，而且能够快速全球传播的更复杂网络攻击。”

2016年60余万台IOT设备遭Mirai感染

黑客操控感染了恶意软件Mirai的物联网设备发起了DDOS攻击，影响波及 Twitter、Reddit等知名网站，强 大的攻击流量甚至使域名服务商 DYN多地网络服务直接中断。恶意软件 Mirai就是此次攻击的罪魁祸首。直到2016年10月26日，我们通过 Mirai特征搜索 shodan发现，当前全球感染Mirai的设备已经超过100万台，其 中美国感染设备有 418,592台，中国大陆有145,778台，澳大利亚 94,912台，日本和中国香港分别为47,198和44,386台。

面对以上木马大范围感染攻击行为，往往主控制仅仅只需要一台服务器就可以控制所有被感染的服务器，PC， 物联网设备，全网的角度主动分析探测网络中哪些IP开放了远程访问控制木马的端口，以及端口特征匹配上远程访 问控制木马指纹。这样就可以判定该IP是远程访问控制木马主控端。从而进一步分析该IP的威胁程度并可以通过网络中的流量来判断出是否已经形成大规模的僵尸网络。

参考资料

http://www.freebuf.com/articles/terminal/117927.html

https://www.easyaq.com/news/589098350.shtml http://tech.sina.com.cn/roll/2017-10-22/doc-ifymyyxw3933598.shtml

探测原理

在传统威胁情报下通过样本，蜜罐等手段捕获样本分析样本背后的威胁。在反病毒公司也面临着同样的问题样本太多，单次分析仅仅只能分析出单个远程访问木马背后连接的控制端IP地址无法做到全面的趋势分析。

Sumap平台采用主动式迭代全网扫描探测，可以根据远程访问木马指纹特征来探测与发现RAT远程访问木 马主控制端，进一步可以分析出RAT远程访问控制木马对全网的安全风险趋势。

区别于传统的端口探测扫描（syn+ack）等方式的端口扫描，Sumap平台采用模拟RAT通讯报文作为探测报文来探测。并以更高效的全网探测速度来探测互联网以确保探测数据有效性。

探测指纹分析使用Gh0stRAT为例，通过安装Gh0stRAT并运行生产的远程访问木马端，通过wireshark (wireshark是网络封包分析软件,网络封包分析软件的功能是采集网络封包，并尽可能显示出最为详细的网络封包资料)抓包分析通信过程。

通信报文结构

Request:

Response:

如图Request， Response中针对gh0stRAT远程访问木马，当用户电脑被植入gh0stRAT控制端之后发 送 \x47\x68\x30\x74\x74\xad…到主控端。当主控端收到Request报文之后应答 Response报文\x47\x68\x30\x73\x74\x16\x00…此时远程访问木马控制端与主控制端建立完整连接。

为了探测更多RAT指纹。研究院针对常见主流 RAT远程访问木马分别做指纹特征分析以便能从全网环境下 精确探测威胁风险。

l DarkComet

l njRAT

l XtremeRAT

l ZeroAccess

l Poison Ivy

l Gh0st

l Netbus

本报告内容以主流RAT远程访问木马来做风险分析，并通过对比各项数据分析出关联风险，Sumap平台采用数据标签样本。

RAT威胁风险分析

全网RAT远程访问木马，探测根据每一款RAT 指纹来探测全网大IP对发现的IP 数量做出占比统计发现DarkCometRAT在全网范围内占比远大于其他RAT远程访问木马。同时根据统计结果显示DarkCometRAT带来 的威胁风险在多个国家地区的占比也是最高。

探测合计发现数量RAT远程访问木马主控制端数量593，IP数量589。其中存在单个IP，运行多款 RAT主控制端情况。

通过 https://www.virustotal.com/等威胁情报平台，针对589个 IP查询发现仅发现少量IP存在高危风险。大部分 IP均未被监测到有效的威胁情报信息。探测更高维度的威胁风险将 IP转换成地区，域名，IP本身是否还开放其他高危端口，做关联分析威胁风险。

国家地区RAT威胁

如上图所示我们将风险分为高中三个级别，以为RAT作为维度，统计发现DarkCometRAT远程访问木马分 别在中国，俄罗斯，美国，土耳其，法国，乌克兰探测发现数量最高，对应威胁风险大于另外几款。

RAT远程访问控制前10国家地区百分比。

2.关联端口威胁

调用SUMAP引擎探测 589高危IP，识别其他端口是否也存在一定威胁，包括WEB端口是否也网页挂马，是

否存在钓鱼网页等威胁。

589个 IP中开放端口号前10的数量

关联端口威胁发现大量传奇私服WEB服务，HFSWEB应用，并其中包含大量病毒木马，恶意程序，网页木马。

如下图中所展现的部分网页截图

图传奇私服

图 HFS 应用

图网站上的病毒木马

关联域名威胁

通过IP反查询域名，进一步分析这批威胁IP的域名是否也存在威胁风险。反向查询之后合计探测发现域名

520个。根据后续研究发现其中大部分都属于高威胁风险域名。这里通过分析其中一个域名来描述域名威胁带来的风险安全，我们从589个IP中，分别做了反向域名解析之后发现有其中3个 IP指向同一域名。这充分吸引了我们的注意。

static.vnpt.vn

在通过威胁平台查询时候可以该域名时发现在 2016年已经开始对外批量发送病毒木马邮件。

但是由于威胁情报局限于大量样本来累积数据，所以并未能发现本次报告中通过SUMAP探测引擎发现这3个RAT远程访问控制主控端IP。通过后期的挖掘与分析，其他的域名情况同样存在一定的威胁风险面对互联网安全是时刻关注这些IP，域名的变化来降低网络安全风险。企业内部也可以通过防火墙等设备屏蔽高威胁IP和域名，并 时刻更新。

关于Sumap

专注网络安全的我们，拥有面向全互联网的网络安全威胁情报可以充分有效的降低用户面对网络安全时，被动 发现威胁的情况。解决面对全互联网安全时难以从多维度解决网络安全风险趋势的局面。

以上报告内容数据来源于安恒研究院 Sumap回声搜索平台

VI.附录

报告中所有统计与数据探测，基于全网2018年3月 1日至2018年3月14日。 附录RAT全网探测数量统计