你在看电脑,而黑客们在看你

这是早期的一则推特,眼尖的用户能注意到: 似乎扎克伯格的笔记本摄像头和麦克风插口都是用胶带蒙住的 Mark Zuckerberg为什么要把摄像头给封住了? 因为他也怕被黑,安全永远是相对的,更何况这种高价值的攻击目标

    Remote Access Trojan,简称RAT
   是一个可以在目标计算机上安装服务器组件的恶意代码
   当计算机被感染后
   攻击者便可以使用一个简单的客户程序访问这台计算机  

RAT 有非常多的应用程序 或者代码

• 地下传播的
• 开源的
• 变种修改的
• 商业付费

比如国内的大灰狼,gh0st,国外的QuasarRAT,NJRat等等,不计其数

实际上这样的程序或者代码,在各种论坛广泛传播

QQ群随便一搜远控

生成的木马,被加壳,或者与其他应用绑定

上传各种第三方下载站

如果你没有安装杀毒软件 或者总是下载XX破解免费版 十有八九会中招 道高一尺.魔高一丈,很多做了免杀,虽然不会太持久 如下图,伪装成office进程 杀毒软件只是建议禁止开机启动,而并没有直接处理

以下是QuasarRAT的界面:

用RAT可以做些什么呢?

• 1.远程控制电脑
• 2.开启摄像头,拍照录像
• 3.启动麦克风,监听环境音
• 4.监控屏幕操作
• 5.文件传输
• 6.执行shell命令
• 7.获取详细的系统信息:版本/ip/网络环境
• 8.更多更多~

国产的更是追求用户体验: 直接显示电脑登录在线的QQ号,获取好友信息等

你在看电脑,也许另一边有人也在看着你

很多人在家没有关机的习惯,也没有合上盖子 当你离开笔记本 所以实际上,它是一个更隐蔽的针孔摄像机,而你全然不知

如何用kali linux生成木马

除了现成 软件脚本

也可以用msf几行命令轻松生成恶意程序

以下动图无关,仅做相关性概括演示

怎么保护自己的隐私?

一根胶带就可以解决摄像头被入侵的问题

胶带是最简单,廉价的解决办法

为了美观,你也可以购买摄像头遮挡帖 在你不需要的时候,将它遮挡 视频的聊天时,只要左右滑动即可

将电脑的操作系统升级到最新 并开启杀毒软件 在没有防护的环境下,裸奔的概率太大了~~

使用恶意程序的认知成本和金钱并不高 你在网上从任意非官方渠道下载的软件 都有可能是被故意散播的木马 比如XX云不限速破解版 还会温馨的提示你:为了避免被杀毒软件误杀,请先关闭XXX

分享一篇最近的新闻

一、概述

近日发现一款“大灰狼”远程控制木马变种，正在利用伪装成会所成员联系方式的虚假文件传播。经分析，该木马变种由“XINKE”木马团伙利用多个钓鱼文档以及Flash漏洞（exploit.cve-2018-15982）挂马传播，中毒电脑会被攻击者完全控制。 病毒传播者利用多次白加黑调用来逃避查杀，从一系列下载的jpg中解密出病毒执行模块，检测当前系统是不是处于调试环境，如果是，病毒程序就停止后续动作。如果是普通用户环境，就会安装“大灰狼”远程控制软件，实现对目标计算机的完全控制。

病毒传播者杜撰的会所会员资料

详细分析 “逆火大灰狼”（大灰狼远控的变种之一）安装模式，入口处解密内置的PE文件，XOR EEBOF，大小0x4a00，文件原始名为FileRename.dat

解密后得到一个upx压缩过的PE文件，内存加载并执行

继续下载jpg文件

对jpg校验，校验尾部0x12字节

校验尾部字符串：SSSSSSVID:2013-SV1，校验通过后，解密jpg文件

解密后仍然得到一个UPX压缩后的PE 文件，内存加载并调用主函数Dllqidongxiang

Dllqidongxiang函数，创建互斥“NHQDX”（逆火启动项），为避免引起怀疑，下载一份伪造的会员资料文档apple.xlsx，并展现出来

在文件0x10005A50处存放另外一个加密的PE文件，异或密匙 “EEBOF”

0x5a50函数负责下载mm638域名上的NHQDXZXZK.jpg，原始文件名为FileRename.exe解密NHQDXZXZK.jpg并调导出函数Dllqidongxiang

FileRename.exe内置12个未加密的PE文件，这些文件主要是白+黑组合利用模块

入口处释放设置启动项的inf代码

执行安装windows.inf文件，设置多个白启动项

X86环境下会检测杀软进程，如果存在杀软进程则启动schedule.exe（一个正常的白程序）

schedule.exe带有正常的数字签名，作为一个被利用模块

schedule.exe启动后会把当前目录下的HBuilderService.exe作为服务启动

而HBuilderService.exe也是带有正常数字签名的模块，这里是双层白利用。 HBuilderService启动后会搜索加载当前目录的下的music.dll，该dll其实是一个黑dll，在导出函数AunXXHunmmerEngine函数中执行后门安装操作，下载多个jpg模块。

HummerEngine、music、COMSupport.dll都是用于劫持的dll，在白启动项启动时会自动加载，木马存活率因而大大提高。 3个劫持dll木马功能类似，选取COMSupport.dll分析，COMSupport.dll是在WallPaper.exe启动时被加载，该模块（WallPaper.exe）也使用了正常的数字签名。

COMSupport.dll在导出的函数 WSCreateInstance中解密内存文件NH.dat，代码风格类似

解密后调用NH.Main函数，NH.dll模块在TLS回调中对系统环境做了检测。 判断当前环境是否是反病毒逆向环境（OD、沙箱等），检测常用逆向工具进程名，逆向环境不会有后续操作。

环境检测通过后，读取目录下的TorchWooc.jpg并解密

解密后得到一个EXE文件，再PROCESS HOLLOWING技术注入到WallPaper.exe白进程，这里命名为FakeWallPaper.exe，FakeWallPaper.exe入口处下载NH.jpg，并释放到c:\program files\apppatch

对NH.jpg格式校验，尾部的“SSSSVID ：2013-SV1”标记，解密后得到一个UPX压缩过的dll，原始名NH.jpg，是大灰狼远程控制模块，导出两个函数

调用DllFuUpgradrs函数，参数为"s7S9srG9tbK9rqef"，该串是C2的密文，异或解密后得到"47.52.65.18:8008"，木马内置了一个明文C2，当域名方式无法上线，则选择IP上线。

作为主函数，上线前搜集必要的信息，如用户名，硬盘大小，内存，CPU，也包括进程信息

检测Mutex“Nmbbre hjveaika”防止重复运行，获取本机上线分组信息

黑客为了连接到内网的3389，在NH.jpg x0952c0处内置了一个PE文件

从特征来看，这个文件即是开源的端口转发工具LCX，用于把内网机器的3389端口映射到黑客主机端口，便于远程桌面登录内网的机器。

大灰狼远程控制是一个开源的远程控制用软件，版本较多，持续追踪后发现该团伙使用的为某个商业版本，存放在逆火工具集中，叫“逆火大灰狼”。

部分协议字段：

木马另一个C2地址： www.hkxinke.com：8080，若域名无法解析时会连接第一个 IP类型的C2。 木马在无杀软环境直接启动ManicTime.exe，ManicTime.exe是一个白签名文件，启动后加载木马目录下的music.dll，比在杀软环境下少了一层白利用。 X64环境中，会另外下载三个tpi文件，实际是带密码的压缩包，密码都为qweasdzxcqazwsxedc/'][;.

V3.tpi和V4.tpi分别是著名的时间管理软件（隐私搜集）manictime的不同版本，来自百度百科的介绍 AX.tip包含了数据库操作相关模块。并把隐私搜集软件设置为系统隐藏，且不可索引

木马使用Manic版本比较早，V1.3是2010年左右构建，V1.4是2014年

旧版本的ManicTime的所有记录日志都在ManicTime.sdf数据库中存放，可以很方便的发送指令直接搜索数据库。

Manic.exe启动后，木马会创建线程监控Manic.exe进程及启动项。 “逆火大灰狼”远程控制木马利用较多白签名模块逃避杀软拦截，文件启动大致流程：

三、安全建议

1、使用电脑管家拦截危险程序

2、建议用户升级Adobe Flash Player到最新版本，避免遭遇Flash漏洞攻击。 推荐使用电脑管家的软件管理功能升级，也可参考Adobe官方公告下载： https://helpx.adobe.com/security/products/flash-player/apsb18-42.html 3、切勿轻信网上流传的各种脱库资料、会所档案，轻易下载运行有较大中毒风险。 4、建议修改windows资源管理器显示选项，关闭“隐藏已知文件类型的扩展名”功能，可快速辨别是否有文件后缀。文档图标用PPT、PDF、XLS，后辍却是EXE的话，基本可以判定为恶意程序了。