摘要
9月,在研究流行的商品化远程访问工具(RAT)的过程中,Unit 42的研究人员发现了一种新型、未曾发现过的RAT,在其公开出售的第一个月内,我们在超过2200次攻击中发现了近50个恶意样本。在本篇文章中,我们对RAT的管理工具和生成工具进行分析,同时还分析了客户端恶意软件,并记录了其背后的瑞典攻击者,揭示了其恶意软件的推广与销售过程。我们还发现这种RAT已经在野外的恶意攻击者被使用。
RAT不断升级
在2019年9月的第一周,攻击者开始使用Speccy和Rafiki帐户在地下论坛推广他的新型RAT(如下图所示)。发帖内容非常简单,直接指向了他们的销售网站blackremote[.]pro。
在同一周,攻击者发布了一个YouTube视频,其中包含如何部署RAT的说明。
在YouTube的说明中,包括指向他个人网站speccy[.]dev的链接。在视频中,攻击者声称“这个RAT在运行过程中完全不会被检测到”,其中包含一个“购买FUD加密程序”的链接。如果是合法软件,没有任何理由会宣称其“不会被检测到”或“被加密”,而恶意软件则经常会用上述两种方式来防止被反恶意软件产品检测到。
YouTube上面的描述:
关于blackremote[.]pro
Blackremote RAT的销售站点blackremote[.]pro是在2019年8月19日注册的。
Speccy描述了他的RAT:
“Black Remote Controller PRO是功能强大且完善的系统远程管理套件。借助其中包含的诸多功能,它可以为我们提供对远程计算机的完全访问和控制权,可以实现远程监控、访问或操纵每个活动和数据,就像坐在电脑面前一样!”
与这个地下论坛中推广的其他恶意RAT一样,Speccy建议将该软件用于合法目的:
“该工具非常适合需要在特定系统上进行远程访问、监控和进行远程操作以满足各种各样需求的用户,包括专业管理员、父母控制、取证、监护、远程协助。Black将为用户提供一种能远程实现所有功能的出色工具。”
但是,根据他们在宣传过程中提到的“无法检测”、“加密”等特性,以及功能中所包含的“密码恢复”、“有趣的功能”,我们认为这一软件倾向于恶意软件。
Speccy和其他商品化的RAT相比售价较高(如下图所示)。31天授权证书的价格为49美元,93天授权证书的价格为117美元,一年授权证书的价格为438美元。
购买过程使用各种加密货币进行交易,使用第三方支付服务vsell[.io]。
特征
在网站上,列出了这一RAT的详细功能
#远程桌面
以令人难以置信的低延迟实时查看远程桌面,支持截图、录制.avi视频、控制鼠标设备等功能,支持多个屏幕。
#远程文件管理器
在远程主机的所有驱动器、文件和文件夹中,以最快的速度自由访问,能对任何类型的文件进行操作。
#远程网络摄像头
可以保护个人财产、监控、父母控制,该功能可以实现多种需求。支持拍摄照片,或将视频录制为.avi文件。
#文件传输
从远程计算机上传或下载任何数据。支持断点续传,没有传输速度的限制。
#按键记录
实时或离线模式下记录击键,然后检索日志。支持所有键盘输入法,包含关键字搜索功能。
#服务管理
能列出远程计算机上所有已经停止的或正在运行的服务,并能通过点击运行服务或停止服务。
#进程管理
监控远程计算机上所有正在运行的进程,支持终止进程、暂停进程、恢复进程,或设置特定进程启动后的告警。
#远程音频
监听远程主机的麦克风设备,非常适合监听或收听远程用户交流的内容。
#注册表编辑器
浏览远程计算机上完整的Windows注册表,检索或修改任何键或其中的值,支持创建新的键值。
#聊天系统
可以创建一个与远程计算机用户的初始化聊天会话,以寻求帮助或进行其他特定的操作。
#关机/重启/注销系统
能够根据需要远程注销、重新启动或关闭计算机。
#系统消息
创建完全自定义的系统消息、警报和提示信息,并在远程主机上弹出显示。
#下载工具
提供自定义的网址,该功能可以从指定的URL下载并执行任意文件,保存到特定路径并执行。
#密码恢复
获取所有保存在远程计算机、浏览器、邮件客户端的密码,同时也支持获取特定应用程序的密码。
#TCP连接监控
监控远程计算机出入站的所有活动TCP连接,能够按照端口、进程进行阻止,支持立即阻止。
#访问网站
能够启动任何网站页面,以获得支持或满足其他任何特定需求。
#剪贴板管理器
访问、读取、写入或编辑远程计算机剪贴板内容。
#脚本工具
远程创建和执行脚本,支持VBS、HTML、BATCH、PowerShell。
#启动项管理
管理所有远程计算机的系统启动项,可以通过多种方式进行添加、删除和修改。
#远程Shell
能够访问远程计算机的Shell,几乎对完成任何复杂任务都显得至关重要。
#Windows管理器
能够管理远程计算机上任何打开的窗口、可见窗口或隐藏窗口,对其进行关闭、最大化、最小化、隐藏、显示、阻止等操作,支持任何交互。
#已安装的软件
查看系统上已经安装了哪些软件,对于了解如何部署远程环境非常重要。
#Host文件
该文件对于Windows系统起着至关重要的作用,它能够重定向、阻止、转换、关联IP或主机地址。自定义主机文件,有时对于阻止某些网站访问来说至关重要。
#管理客户端
该模块支持众多功能,可以修改、更新、重新启动、终止已经安装的客户端文件。客户端编辑器将允许我们自定义文件。
管理工具/创建工具
领取专属 10元无门槛券
私享最新 技术干货