你在看电脑,而黑客们在看你

这是早期的一则推特,眼尖的用户能注意到: 似乎扎克伯格的笔记本摄像头和麦克风插口都是用胶带蒙住的 Mark Zuckerberg为什么要把摄像头给封住了? 因为他也怕被黑,安全永远是相对的,更何况这种高价值的攻击目标

    Remote Access Trojan,简称RAT
   是一个可以在目标计算机上安装服务器组件的恶意代码
   当计算机被感染后
   攻击者便可以使用一个简单的客户程序访问这台计算机  

视频内容

RAT 有非常多的应用程序 或者代码

  • 地下传播的
  • 开源的
  • 变种修改的
  • 商业付费

比如国内的大灰狼,gh0st,国外的QuasarRAT,NJRat等等,不计其数

实际上这样的程序或者代码,在各种论坛广泛传播

QQ群随便一搜远控

生成的木马,被加壳,或者与其他应用绑定

上传各种第三方下载站

如果你没有安装杀毒软件 或者总是下载XX破解免费版 十有八九会中招 道高一尺.魔高一丈,很多做了免杀,虽然不会太持久 如下图,伪装成office进程 杀毒软件只是建议禁止开机启动,而并没有直接处理

以下是QuasarRAT的界面:

用RAT可以做些什么呢?

  • 1.远程控制电脑
  • 2.开启摄像头,拍照录像
  • 3.启动麦克风,监听环境音
  • 4.监控屏幕操作
  • 5.文件传输
  • 6.执行shell命令
  • 7.获取详细的系统信息:版本/ip/网络环境
  • 8.更多更多~

国产的更是追求用户体验: 直接显示电脑登录在线的QQ号,获取好友信息等


你在看电脑,也许另一边有人也在看着你

很多人在家没有关机的习惯,也没有合上盖子 当你离开笔记本 所以实际上,它是一个更隐蔽的针孔摄像机,而你全然不知


如何用kali linux生成木马

除了现成 软件脚本

也可以用msf几行命令轻松生成恶意程序

以下动图无关,仅做相关性概括演示


怎么保护自己的隐私?

一根胶带就可以解决摄像头被入侵的问题

胶带是最简单,廉价的解决办法

为了美观,你也可以购买摄像头遮挡帖 在你不需要的时候,将它遮挡 视频的聊天时,只要左右滑动即可

将电脑的操作系统升级到最新 并开启杀毒软件 在没有防护的环境下,裸奔的概率太大了~~

使用恶意程序的认知成本和金钱并不高 你在网上从任意非官方渠道下载的软件 都有可能是被故意散播的木马 比如XX云不限速破解版 还会温馨的提示你:为了避免被杀毒软件误杀,请先关闭XXX

分享一篇最近的新闻

一、概述

近日发现一款“大灰狼”远程控制木马变种,正在利用伪装成会所成员联系方式的虚假文件传播。经分析,该木马变种由“XINKE”木马团伙利用多个钓鱼文档以及Flash漏洞(exploit.cve-2018-15982)挂马传播,中毒电脑会被攻击者完全控制。 病毒传播者利用多次白加黑调用来逃避查杀,从一系列下载的jpg中解密出病毒执行模块,检测当前系统是不是处于调试环境,如果是,病毒程序就停止后续动作。如果是普通用户环境,就会安装“大灰狼”远程控制软件,实现对目标计算机的完全控制。

病毒传播者杜撰的会所会员资料

详细分析 “逆火大灰狼”(大灰狼远控的变种之一)安装模式,入口处解密内置的PE文件,XOR EEBOF,大小0x4a00,文件原始名为FileRename.dat

解密后得到一个upx压缩过的PE文件,内存加载并执行

继续下载jpg文件

对jpg校验,校验尾部0x12字节

校验尾部字符串:SSSSSSVID:2013-SV1,校验通过后,解密jpg文件

解密后仍然得到一个UPX压缩后的PE 文件,内存加载并调用主函数Dllqidongxiang

Dllqidongxiang函数,创建互斥“NHQDX”(逆火启动项),为避免引起怀疑,下载一份伪造的会员资料文档apple.xlsx,并展现出来

在文件0x10005A50处存放另外一个加密的PE文件,异或密匙 “EEBOF”

0x5a50函数负责下载mm638域名上的NHQDXZXZK.jpg,原始文件名为FileRename.exe解密NHQDXZXZK.jpg并调导出函数Dllqidongxiang

FileRename.exe内置12个未加密的PE文件,这些文件主要是白+黑组合利用模块

入口处释放设置启动项的inf代码

执行安装windows.inf文件,设置多个白启动项

X86环境下会检测杀软进程,如果存在杀软进程则启动schedule.exe(一个正常的白程序)

schedule.exe带有正常的数字签名,作为一个被利用模块

schedule.exe启动后会把当前目录下的HBuilderService.exe作为服务启动

而HBuilderService.exe也是带有正常数字签名的模块,这里是双层白利用。 HBuilderService启动后会搜索加载当前目录的下的music.dll,该dll其实是一个黑dll,在导出函数AunXXHunmmerEngine函数中执行后门安装操作,下载多个jpg模块。

HummerEngine、music、COMSupport.dll都是用于劫持的dll,在白启动项启动时会自动加载,木马存活率因而大大提高。 3个劫持dll木马功能类似,选取COMSupport.dll分析,COMSupport.dll是在WallPaper.exe启动时被加载,该模块(WallPaper.exe)也使用了正常的数字签名。

COMSupport.dll在导出的函数 WSCreateInstance中解密内存文件NH.dat,代码风格类似

解密后调用NH.Main函数,NH.dll模块在TLS回调中对系统环境做了检测。 判断当前环境是否是反病毒逆向环境(OD、沙箱等),检测常用逆向工具进程名,逆向环境不会有后续操作。

环境检测通过后,读取目录下的TorchWooc.jpg并解密

解密后得到一个EXE文件,再PROCESS HOLLOWING技术注入到WallPaper.exe白进程,这里命名为FakeWallPaper.exe,FakeWallPaper.exe入口处下载NH.jpg,并释放到c:\program files\apppatch

对NH.jpg格式校验,尾部的“SSSSVID :2013-SV1”标记,解密后得到一个UPX压缩过的dll,原始名NH.jpg,是大灰狼远程控制模块,导出两个函数

调用DllFuUpgradrs函数,参数为"s7S9srG9tbK9rqef",该串是C2的密文,异或解密后得到"47.52.65.18:8008",木马内置了一个明文C2,当域名方式无法上线,则选择IP上线。

作为主函数,上线前搜集必要的信息,如用户名,硬盘大小,内存,CPU,也包括进程信息

检测Mutex“Nmbbre hjveaika”防止重复运行,获取本机上线分组信息

黑客为了连接到内网的3389,在NH.jpg x0952c0处内置了一个PE文件

从特征来看,这个文件即是开源的端口转发工具LCX,用于把内网机器的3389端口映射到黑客主机端口,便于远程桌面登录内网的机器。

大灰狼远程控制是一个开源的远程控制用软件,版本较多,持续追踪后发现该团伙使用的为某个商业版本,存放在逆火工具集中,叫“逆火大灰狼”。

部分协议字段:

木马另一个C2地址: www.hkxinke.com:8080,若域名无法解析时会连接第一个 IP类型的C2。 木马在无杀软环境直接启动ManicTime.exe,ManicTime.exe是一个白签名文件,启动后加载木马目录下的music.dll,比在杀软环境下少了一层白利用。 X64环境中,会另外下载三个tpi文件,实际是带密码的压缩包,密码都为qweasdzxcqazwsxedc/'][;.

V3.tpi和V4.tpi分别是著名的时间管理软件(隐私搜集)manictime的不同版本,来自百度百科的介绍 AX.tip包含了数据库操作相关模块。并把隐私搜集软件设置为系统隐藏,且不可索引

木马使用Manic版本比较早,V1.3是2010年左右构建,V1.4是2014年

旧版本的ManicTime的所有记录日志都在ManicTime.sdf数据库中存放,可以很方便的发送指令直接搜索数据库。

Manic.exe启动后,木马会创建线程监控Manic.exe进程及启动项。 “逆火大灰狼”远程控制木马利用较多白签名模块逃避杀软拦截,文件启动大致流程:

三、安全建议

1、使用电脑管家拦截危险程序

2、建议用户升级Adobe Flash Player到最新版本,避免遭遇Flash漏洞攻击。 推荐使用电脑管家的软件管理功能升级,也可参考Adobe官方公告下载: https://helpx.adobe.com/security/products/flash-player/apsb18-42.html 3、切勿轻信网上流传的各种脱库资料、会所档案,轻易下载运行有较大中毒风险。 4、建议修改windows资源管理器显示选项,关闭“隐藏已知文件类型的扩展名”功能,可快速辨别是否有文件后缀。文档图标用PPT、PDF、XLS,后辍却是EXE的话,基本可以判定为恶意程序了。

原文发布于微信公众号 - HACK学习呀(Hacker1961X)

原文发表时间:2019-01-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券