远程控制木马软件（远程控制手机）

　　远程控制木马软件（远程控制手机）
　　如今，出售恶意软件服务（MalwareasaService，MaaS）俨然已经成为了网络黑客赚钱的一条可靠途径。其中，远控木马（RemoteAccessTrojan，RAT）近年来尤为畅销。
　　明明是非法的勾当，但这些RAT的开发者在出售它们时往往义正言辞，声称它们是面向系统管理员的合法软件，试图让人们接受技术本身没有好坏，关键在于如何使用。
　　在本月初，网络安全公司CheckPoint就针对目前深受欢迎的一款RATWarzone进行了分析，并希望借此让人们对恶意软件服务有一个更为直观的了解。广告推广
　　WarzoneRAT的首条广告于2018年秋季出现在warzone〔。〕io上。目前，销售服务托管在warzone〔。〕pw上，并在warzonedns〔。〕com上提供动态DNS服务。
　　根据网站的描述，该恶意软件具有如下功能：
　　不需要。NET；
　　可通过VNC进行远程桌面管理；
　　可通过RDPWrap进行远程桌面管理；
　　权限提升（即使是最新的Win10）；
　　远程控制摄像头；
　　密码收集（适用于Chrome、Firefox、IE、Edge、Outlook、Thunderbird和Foxmail）；
　　下载并执行任意文件；
　　实时键盘记录；
　　远程Shell；
　　文件管理；
　　进程管理；
　　反向代理。
　　图1。warzone〔。〕io上的广告
　　图2。warzone〔。〕pw上的最新广告
　　购买者可以选择以下三种订阅计划：
　　入门级：1个月，仅提供RAT；
　　专业级：3个月，提供高级DDNS和客户支持；
　　WARZONERAT：6个月，提供高级DDNS、高级客户支持以及可隐藏进程、文件和启动的Rootkit。
　　图3。warzone〔。〕pw上的订阅计划
　　与此同时，WarzoneRAT开发者还提供了另外两个选择：
　　Exploitbuilder允许将恶意软件嵌入到DOC文件中；
　　Crypter打包恶意软件，以绕过安全检测。
　　图4。漏洞利用和加密程序订阅计划
　　此外，在该网站上还有一个公开访问的知识库，其中包含使用WarzoneRAT构建器的指南。
　　图5。warzone〔。〕pw上的知识库
　　通过搜索，CheckPoint研究人员在VirusTotal上找到了WarzoneRAT的安装包（可能是由WarzoneRAT的购买者泄漏的）。
　　图6。遭泄露的WarzoneRAT安装包
　　技术细节
　　初步分析显示，WarzoneRAT是采用C编写的，几乎与所有的Windows版本都兼容。
　　WarzoneRAT的开发者还在warzonedns〔。〕com上提供了动态DNS服务，这意味着购买者不受IP地址更改的影响。
　　值得注意的是，WarzoneRAT能够绕过UAC（用户帐户控制）以攻破WindowsDefender，并将自身放入启动程序列表中。
　　UAC绕过
　　如果WarzoneRAT是以提升后的权限运行的，那么它会使用如下PowerShell命令将一个完整的C：路径添加到WindowsDefender的排除项中：
　　powershellAddMpPreferenceExclusionPathC：
　　如不不是以提升后的权限运行的，它便会通过如下两种不同的方式绕过UAC并提升权限一种针对Windows10，另一种针对较旧版本：
　　对于Windows10以下的版本，它将使用UAC旁路模块（该模块存储在其资源部分中）；
　　对于Windows10，它将滥用sdclt。exe的自动权限提升功能（该功能在Windows备份和还原机制的上下文中使用）。
　　图7。UAC绕过策略
　　长久驻留
　　WarzoneRAT会将自身复制到C：UsersUserAppDataRoaminglt；INSTALLNAMEgt；。exe，并将此路径添加到HKCUSoftwareMicrosoftWindowsCurrentVersionRun。默认情况下，lt；INSTALLNAMEgt；是images。exe，但WarzoneRAT的构建器允许购买者任意修改可执行文件的名称。
　　此外，它还会创建一个注册表配置单元HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUIF2IS2OVK并在其中的inst值下放置一个256字节的伪随机生成序列。
　　C2通信
　　WarzoneRAT在5200端口通过TCP与C2服务器通信，数据包的有效载荷使用密码warzone160x00通过RC4加密。
　　图8。未加密数据包的布局
　　图9。C2服务器的响应
　　发送给C2服务器数据包包含如下数据：
　　MachineGUID的SHA1值；
　　CampaignID；
　　操作系统版本
　　管理员状态；
　　计算机名称；
　　恶意软件的存储路径；
　　恶意文件MurmurHash3值；
　　RAM大小；
　　CPU信息；
　　显卡信息。
　　分析表明，botID是MachineGUID注册表值HKLMSoftwareMicrosoftCryptography中的一个SHA1值。
　　通过接收来自C2服务器的命令，bot能够为攻击者提供如下能力：使用远程shell、RDP或VNC控制受感染的计算机、远程任务和文件管理，以及远程控制摄像头等等。结语
　　尽管WarzoneRAT被描述为合法软件，但它实际上是具有与其他RAT类似功能的木马病毒，可通过其他恶意软件或垃圾电子邮件进行传播。
　　如今，越来越多的计算机病毒开始以恶意软件即服务的形式被出售，且购买者还能够得到病毒开发者的持续技术支持。这些导致网络犯罪的门槛大大降低，几乎任何人都可以轻松开展新的恶意活动。
　　因此，我们再次提醒大家应重视网络安全，及时更新系统、安装补丁，并至少使用一款信得过的安全产品，至少应做到不随意打开任何来历不明的电子邮件或文件。