RAT远程访问木马主控端全网探测分析

RAT 简介

远程访问木马(RAT,remote access Trojan)是一种恶意程序,其中包括在目标计算机上用于管理控制的后门。通常攻击者会将远程访问木马捆绑在正常软件上提供到互联网或者利用计算机漏洞入侵电脑植入远程访问木马,普通用户在浏览网页下载的正常程序软件时不易发现(如游戏程序,办公软件等)也可以通过电子邮件附件发送远程访问木马。一旦主机被植入远程访问控制木马,入侵者可以利用它来向其他易受感染的计算机分发远程访问木马,从而建立僵尸网络。

因为远程访问木马能进行管理控制,入侵者几乎可以在目标计算机上做任何事,其中包括:

 监视用户行为,截屏等。

 访问机密信息,如信用卡和社会安全号码。

 激活系统的摄像头和录音录像。

 传播病毒和其他恶意软件

 勒索软件,加密硬盘数据。

 植入挖矿程序。

 删除、下载或改变文件和文件系统。

人们往往很难发现自己是否被远程访问木马(RAT)感染,因为它们通常不会将进程或任务,显示在系统进程任务列表中。它们执行的行为类似于合法程序。此外攻击者设计远程访问木马时为了对抗杀毒软件远程访问控制木马会使用更复杂的技术来隐藏自己或者卸载掉用户电脑上的杀毒软件阻止杀毒软件运行。本报告从全网角度探索与分析远程访问木马主控端。

背景案例

在网络安全事件爆发背后,往往都会涉及到远程访问控制木马。因为攻击者最终需要使用远程访问木马主控端来控制受感染的机器,这也说明探测主控端远程访问木马风险的必要性。通过分析出具有高威胁的 IP 反向推算哪些 IP 曾经连接过是否已经中了木马。在实际的案例中一个远程访问控制主控端可以控制大量受感染的个人 PC或服务器以及物联网设备。特别是近年来 IOT(物联网,英文名称是:“Internet of things)的发展导致远程访问控制木马可以通过一个漏洞感染更多物联网设备并使用远程访问木马,来控制物联网设备。所以每发现一个主控制 IP都有可能已经控制了几千,几万,几十万台,几百万的互联网资产设备。通常情况下网络安全报告中会充分分析受感染情况很少会分析主控端分布情况,这也导致事件最终很难找到是谁控制了这些受感染的机器。以及全网中存在多少主控制?

2018 年 ADB.Miner 挖矿僵尸网络感染迅速扩张:中国成重灾区

研究人员表示,ADB.Miner是一种新型的安卓蠕虫,该蠕虫可以借助安卓设备上已经打开的adb 调试接口传播,初期传播的增速很快——约每12小时翻一番,仅用 24小时就感染了超过 5000台安卓设备,这些被感染 的设备正在积极尝试传播恶意代码。最早的感染时间可以回溯到2018年1月 31日左右,2月3日 15:00的流量 达到平时的3倍,24:00达到平时的10倍。截至2月 5日 15:00,ADB.Miner.的日活感染量在增长到7千后不再快速增长,这个数字已经保持稳定了超过20 小时,研究人员认为蠕虫已经过爆发期进入稳定期。受感染的设备主要分布在中国(39%,包括中国香港地区和中国台湾地区)和韩国(39%)

2018年门罗币挖矿僵尸网络感染 50多万台Windows 计算机

超过52.6万台Windows计算机(主要为Windows服务器)受门罗币挖矿软件的感染。其幕后组织操纵 着迄今为止规模最大的门罗币挖矿僵尸网络。Smominru的操纵者利用不同技术感染机器,其中主要依靠使用 “永恒之蓝(CVE-2017-0144)”利用代码,不过还部署了 EsteemAudit(CVE-2017-0176)。这两个漏洞都是为了 控制运行未修复的Windows操作系统的设备。正如GuardiCore公司指出,该僵尸网络不仅针对Linux机器上的MySQL服务器,还针对Windows服务器上的MSSQL数据库。

2018年“捉迷藏”新型IoT僵尸网络携1.4万台“肉鸡”强势来袭

E安全 2018年 1月 26日讯 网络安全公司Bitdefender的安全研究人员发现新型 IoT僵尸网络“捉迷藏”(HNS)。专家称,该僵尸网络于 2018年1月10日初次现身,1月 20日携大量“肉鸡”强势回归。截至1月25日,HNS的“肉鸡”数量已从最初的12台扩充至1.4万台。由于HNS是新晋IoT僵尸网络,其创建者会探索新的传播方式和“肉鸡”管理技术,因此还处在不断变化的状态当中。专家表示,由1.4万个“肉鸡”组成的僵尸网络不容忽视,因为一般能够有一定“杀伤力”的僵尸网络,根本不需要几万个肉鸡,四五千就足矣。

2017年专家意外发现新僵尸网络全球超百万组织或已被感染

2017年 10月21日消息,研究人员发出警告称,全世界有多达一百万个组织已经受到一种全新计算机僵尸 网络的感染。据英国网络安全公司的CheckPoint称,已经发现了一种全新的僵尸网络,能够控制物联网设备,最主要是互联网路由器和远程遥控摄像头。该安全公司在本周发表的一份报告中称,新一波互联网风暴即将到 来。研究表明,这些新的僵尸网络正以较快的速度发展,而且有可能引发与去年“Mirai”相同形式的网络攻击。CheckPoint称:“虽然技术方面的分析让我们怀疑这一僵尸网络可能与 Mirai存在联系,但是这次是一种全新的僵 尸网络,而且能够快速全球传播的更复杂网络攻击。”

2016年60余万台IOT设备遭Mirai感染

黑客操控感染了恶意软件Mirai的物联网设备发起了DDOS攻击,影响波及 Twitter、Reddit等知名网站,强 大的攻击流量甚至使域名服务商 DYN多地网络服务直接中断。恶意软件 Mirai就是此次攻击的罪魁祸首。直到2016年10月26日,我们通过 Mirai特征搜索 shodan发现,当前全球感染Mirai的设备已经超过100万台,其 中美国感染设备有 418,592台,中国大陆有145,778台,澳大利亚 94,912台,日本和中国香港分别为47,198和44,386台。

面对以上木马大范围感染攻击行为,往往主控制仅仅只需要一台服务器就可以控制所有被感染的服务器,PC, 物联网设备,全网的角度主动分析探测网络中哪些IP开放了远程访问控制木马的端口,以及端口特征匹配上远程访 问控制木马指纹。这样就可以判定该IP是远程访问控制木马主控端。从而进一步分析该IP的威胁程度并可以通过网络中的流量来判断出是否已经形成大规模的僵尸网络。

参考资料

http://www.freebuf.com/articles/terminal/117927.html

https://www.easyaq.com/news/589098350.shtml http://tech.sina.com.cn/roll/2017-10-22/doc-ifymyyxw3933598.shtml

探测原理

在传统威胁情报下通过样本,蜜罐等手段捕获样本分析样本背后的威胁。在反病毒公司也面临着同样的问题样本太多,单次分析仅仅只能分析出单个远程访问木马背后连接的控制端IP地址无法做到全面的趋势分析。

Sumap平台采用主动式迭代全网扫描探测,可以根据远程访问木马指纹特征来探测与发现RAT远程访问木 马主控制端,进一步可以分析出RAT远程访问控制木马对全网的安全风险趋势。

区别于传统的端口探测扫描(syn+ack)等方式的端口扫描,Sumap平台采用模拟RAT通讯报文作为探测报文来探测。并以更高效的全网探测速度来探测互联网以确保探测数据有效性。

探测指纹分析使用Gh0stRAT为例,通过安装Gh0stRAT并运行生产的远程访问木马端,通过wireshark (wireshark是网络封包分析软件,网络封包分析软件的功能是采集网络封包,并尽可能显示出最为详细的网络封包资料)抓包分析通信过程。

通信报文结构

Request:

Response:

如图Request, Response中针对gh0stRAT远程访问木马,当用户电脑被植入gh0stRAT控制端之后发 送 \x47\x68\x30\x74\x74\xad…到主控端。当主控端收到Request报文之后应答 Response报文\x47\x68\x30\x73\x74\x16\x00…此时远程访问木马控制端与主控制端建立完整连接。

为了探测更多RAT指纹。研究院针对常见主流 RAT远程访问木马分别做指纹特征分析以便能从全网环境下 精确探测威胁风险。

l DarkComet

l njRAT

l XtremeRAT

l ZeroAccess

l Poison Ivy

l Gh0st

l Netbus

本报告内容以主流RAT远程访问木马来做风险分析,并通过对比各项数据分析出关联风险,Sumap平台采用数据标签样本。

RAT威胁风险分析

全网RAT远程访问木马,探测根据每一款RAT 指纹来探测全网大IP对发现的IP 数量做出占比统计发现DarkCometRAT在全网范围内占比远大于其他RAT远程访问木马。同时根据统计结果显示DarkCometRAT带来 的威胁风险在多个国家地区的占比也是最高。

探测合计发现数量RAT远程访问木马主控制端数量593,IP数量589。其中存在单个IP,运行多款 RAT主控制端情况。

通过 https://www.virustotal.com/等威胁情报平台,针对589个 IP查询发现仅发现少量IP存在高危风险。大部分 IP均未被监测到有效的威胁情报信息。探测更高维度的威胁风险将 IP转换成地区,域名,IP本身是否还开放其他高危端口,做关联分析威胁风险。

国家地区RAT威胁

如上图所示我们将风险分为高中三个级别,以为RAT作为维度,统计发现DarkCometRAT远程访问木马分 别在中国,俄罗斯,美国,土耳其,法国,乌克兰探测发现数量最高,对应威胁风险大于另外几款。

地区

百分比

中国

29%

俄罗斯

14%

美国

13%

土耳其

13%

法国

5%

巴西

5%

巴勒斯坦

5%

荷兰

4%

埃及

4%

乌克兰

3%

RAT远程访问控制前10国家地区百分比。

2.关联端口威胁

调用SUMAP引擎探测 589高危IP,识别其他端口是否也存在一定威胁,包括WEB端口是否也网页挂马,是

否存在钓鱼网页等威胁。

589个 IP中开放端口号前10的数量

端口

发现数量

80

135

3306

102

800

93

988

88

8980

88

33890

88

2018

88

3389

33

443

25

22

23

关联端口威胁发现大量传奇私服WEB服务,HFSWEB应用,并其中包含大量病毒木马,恶意程序,网页木马。

如下图中所展现的部分网页截图

图传奇私服

图 HFS 应用

图网站上的病毒木马

关联域名威胁

通过IP反查询域名,进一步分析这批威胁IP的域名是否也存在威胁风险。反向查询之后合计探测发现域名

520个。根据后续研究发现其中大部分都属于高威胁风险域名。这里通过分析其中一个域名来描述域名威胁带来的风险安全,我们从589个IP中,分别做了反向域名解析之后发现有其中3个 IP指向同一域名。这充分吸引了我们的注意。

static.vnpt.vn

在通过威胁平台查询时候可以该域名时发现在 2016年已经开始对外批量发送病毒木马邮件。

但是由于威胁情报局限于大量样本来累积数据,所以并未能发现本次报告中通过SUMAP探测引擎发现这3个RAT远程访问控制主控端IP。通过后期的挖掘与分析,其他的域名情况同样存在一定的威胁风险面对互联网安全是时刻关注这些IP,域名的变化来降低网络安全风险。企业内部也可以通过防火墙等设备屏蔽高威胁IP和域名,并 时刻更新。

关于Sumap

专注网络安全的我们,拥有面向全互联网的网络安全威胁情报可以充分有效的降低用户面对网络安全时,被动 发现威胁的情况。解决面对全互联网安全时难以从多维度解决网络安全风险趋势的局面。

以上报告内容数据来源于安恒研究院 Sumap回声搜索平台

VI.附录

报告中所有统计与数据探测,基于全网2018年3月 1日至2018年3月14日。 附录RAT全网探测数量统计

RAT远程访问木马名称

探测发现数量

DarkComet

366

njRAT

103

XtremeRAT

41

ZeroAccess

40

Netbus

18

Poison Ivy

14

Gh0st

11

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-04-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

大华科技11款摄像头产品被曝预留了后门,可远程获取管理员账户密码(厂商已更新补丁)

最近,中国浙江的一家安全摄像头/DVR制造商大华科技(Dahua Technology)针对旗下的不少产品推送了固件升级补丁。补丁据说是为了修复某些型号中的一个...

3347
来自专栏安恒信息

医疗行业网络入侵途径与全球安全现状

患者信息泄露、医疗信息被篡改、医生误诊、遭勒索……医疗行业的网络安全危机是否已经到来? 去年在某行业峰会上,我们作出了“医疗网络将成为网络犯罪分子重点攻...

3584
来自专栏机器人网

十大计算机恶意软件排行榜,你中过哪个?

互联网安全公司Check Point近日发布了十大计算机恶意软件排行榜,其中Locky勒索软件首次进入前三,成为目前最危险的恶意软件之一。 在过去的几个月中,...

2727
来自专栏FreeBuf

Github遭遇史上最大1.35 Tbps DDoS攻击

最大代码分发平台Github在周三遭受了一系列大规模分布式拒绝服务(DDoS)攻击。 在攻击的第一阶段,Github的网站遭受了惊人的每秒1.35太比特(Tbp...

3556
来自专栏安恒信息

安卓现“短信屠夫”病毒 通过短信传播

近日,一款名为“短信屠夫”【a.expense.fakegooglegame】的安卓病毒被截获,该病毒伪装成Google Play,并且读取用户通讯,私自发送恶...

3876
来自专栏Java学习网

DDoS攻击的发展和应对

尽可能地对被攻击目标造成最大程度的资源破坏是DDoS攻击的根本初衷。站在这个角度上来看DDoS攻击的发展,可以梳理出清晰的脉络。 ? 三个发展阶段   ...

4575
来自专栏FreeBuf

一百多家汽车厂商机密数据泄露,特斯拉通用大众丰田都中招

据多家外媒报道,7 月初,来自 UpGuard 安全团队的研究员 Chris Vickery 在网上发现了汽车供应商 Level One 的不安全数据库,数据库...

1574
来自专栏FreeBuf

最新漏洞利用包可租用每天需80美元

? 近日,以色列网络安全公司IntSights Cyber Intelligence透露,一种新型的漏洞利用套件正在俄罗斯某地下黑客论坛被进行出售。据论坛信息...

41211
来自专栏FreeBuf

KK插件病毒感染全球700万台手机,证据显示幕后黑手来自深圳

1、概述 KK插件是一个可以在整个手机操作系统中弹出恶意广告的移动病毒。早在几个月前,在Google Play中的KK插件变种产品就已经有至少185个了,这些病...

2588
来自专栏BestSDK

微信支付SDK被曝重大漏洞,陌陌、vivo已被入侵!

国外安全社区Seclists.Org里一名白帽子披露了微信支付官方SDK存在严重的XXE漏洞,可导致商家服务器被入侵,并且黑客可避开真实支付通道,用虚假的支付通...

1785

扫码关注云+社区

领取腾讯云代金券