远程控制木马软件（远程控制手机）

　　远程控制木马软件（远程控制手机）
　　如今，出售恶意软件服务（Malware-as-a-Service，MaaS）俨然已经成为了网络黑客赚钱的一条可靠途径。其中，远控木马（Remote Access Trojan，RAT）近年来尤为畅销。
　　明明是非法的勾当，但这些RAT的开发者在出售它们时往往义正言辞，声称它们是面向系统管理员的合法软件，试图让人们接受＂技术本身没有好坏，关键在于如何使用＂。
　　在本月初，网络安全公司Check Point就针对目前深受欢迎的一款RAT——Warzone进行了分析，并希望借此让人们对恶意软件服务有一个更为直观的了解。广告推广
　　Warzone RAT的首条广告于2018年秋季出现在warzone[.]io上。目前，销售服务托管在warzone[.]pw上，并在warzonedns[.]com上提供动态DNS服务。
　　根据网站的描述，该恶意软件具有如下功能：
　　不需要.NET；
　　可通过VNC进行远程桌面管理；
　　可通过RDPWrap进行远程桌面管理；
　　权限提升（即使是最新的Win10）；
　　远程控制摄像头；
　　密码收集（适用于Chrome、Firefox、IE、Edge、Outlook、Thunderbird和Foxmail）；
　　下载并执行任意文件；
　　实时键盘记录；
　　远程Shell；
　　文件管理；
　　进程管理；
　　反向代理。
　　图1.warzone[.]io上的广告
　　图2.warzone[.]pw上的最新广告
　　购买者可以选择以下三种订阅计划：
　　入门级：1个月，仅提供RAT；
　　专业级：3个月，提供高级DDNS和客户支持；
　　WARZONE RAT：6个月，提供高级DDNS、高级客户支持以及可隐藏进程、文件和启动的Rootkit。
　　图3.warzone[.]pw上的订阅计划
　　与此同时，Warzone RAT开发者还提供了另外两个选择：
　　Exploit builder –允许将恶意软件嵌入到DOC文件中；
　　Crypter –打包恶意软件，以绕过安全检测。
　　图4.漏洞利用和加密程序订阅计划
　　此外，在该网站上还有一个公开访问的知识库，其中包含使用Warzone RAT构建器的指南。
　　图5.warzone[.]pw上的知识库
　　通过搜索，Check Point研究人员在VirusTotal上找到了Warzone RAT的安装包（可能是由Warzone RAT的购买者泄漏的）。
　　图6.遭泄露的Warzone RAT安装包
　　技术细节
　　初步分析显示，Warzone RAT是采用C++编写的，几乎与所有的Windows版本都兼容。
　　Warzone RAT的开发者还在warzonedns[.]com上提供了动态DNS服务，这意味着购买者不受IP地址更改的影响。
　　值得注意的是，Warzone RAT能够绕过UAC（用户帐户控制）以攻破Windows Defender，并将自身放入启动程序列表中。
　　UAC绕过
　　如果Warzone RAT是以提升后的权限运行的，那么它会使用如下PowerShell命令将一个完整的C:\路径添加到Windows Defender的排除项中：
　　powershell Add-MpPreference -ExclusionPath C:\
　　如不不是以提升后的权限运行的，它便会通过如下两种不同的方式绕过UAC并提升权限——一种针对Windows 10，另一种针对较旧版本：
　　对于Windows 10以下的版本，它将使用UAC旁路模块（该模块存储在其资源部分中）；
　　对于Windows 10，它将滥用sdclt.exe 的自动权限提升功能（该功能在Windows备份和还原机制的上下文中使用）。
　　图7.UAC绕过策略
　　长久驻留
　　Warzone RAT会将自身复制到C:\Users\User\AppData\Roaming\<INSTALL_NAME>.exe，并将此路径添加到HKCU\Software\Microsoft\Windows\CurrentVersion\Run。默认情况下，<INSTALL_NAME>是images.exe，但Warzone RAT的构建器允许购买者任意修改可执行文件的名称。
　　此外，它还会创建一个注册表配置单元HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UIF2IS2OVK并在其中的inst值下放置一个256字节的伪随机生成序列。
　　C2通信
　　Warzone RAT在5200端口通过TCP与C2服务器通信，数据包的有效载荷使用密码＂warzone160\x00＂通过RC4加密。
　　图8.未加密数据包的布局
　　图9.C2服务器的响应
　　发送给C2服务器数据包包含如下数据：
　　MachineGUID的SHA-1值；
　　Campaign ID；
　　操作系统版本
　　管理员状态；
　　计算机名称；
　　恶意软件的存储路径；
　　恶意文件MurmurHash3值；
　　RAM大小；
　　CPU信息；
　　显卡信息。
　　分析表明，bot ID是MachineGUID注册表值HKLM\Software\Microsoft\Cryptography中的一个SHA-1值。
　　通过接收来自C2服务器的命令，bot能够为攻击者提供如下能力：使用远程shell、RDP或VNC控制受感染的计算机、远程任务和文件管理，以及远程控制摄像头等等。结语
　　尽管Warzone RAT被描述为合法软件，但它实际上是具有与其他RAT类似功能的木马病毒，可通过其他恶意软件或垃圾电子邮件进行传播。
　　如今，越来越多的计算机病毒开始以恶意软件即服务的形式被出售，且购买者还能够得到病毒开发者的持续技术支持。这些导致网络犯罪的门槛大大降低，几乎任何人都可以轻松开展新的恶意活动。
　　因此，我们再次提醒大家应重视网络安全，及时更新系统、安装补丁，并至少使用一款信得过的安全产品，至少应做到不随意打开任何来历不明的电子邮件或文件。