远程控制木马软件（远程控制手机）

如今，出售恶意软件服务（Malware-as-a-Service，MaaS）俨然已经成为了网络黑客赚钱的一条可靠途径。其中，远控木马（Remote Access Trojan，RAT）近年来尤为畅销。

明明是非法的勾当，但这些RAT的开发者在出售它们时往往义正言辞，声称它们是面向系统管理员的合法软件，试图让人们接受“技术本身没有好坏，关键在于如何使用”。

在本月初，网络安全公司Check Point就针对目前深受欢迎的一款RAT——Warzone进行了分析，并希望借此让人们对恶意软件服务有一个更为直观的了解。

广告推广

Warzone RAT的首条广告于2018年秋季出现在warzone[.]io上。目前，销售服务托管在warzone[.]pw上，并在warzonedns[.]com上提供动态DNS服务。

根据网站的描述，该恶意软件具有如下功能：

• 不需要.NET；

• 可通过VNC进行远程桌面管理；

• 可通过RDPWrap进行远程桌面管理；

• 权限提升（即使是最新的Win10）；

• 远程控制摄像头；

• 密码收集（适用于Chrome、Firefox、IE、Edge、Outlook、Thunderbird和Foxmail）；

• 下载并执行任意文件；

• 实时键盘记录；

• 远程Shell；

• 文件管理；

• 进程管理；

• 反向代理。

图1.warzone[.]io上的广告

图2.warzone[.]pw上的最新广告

购买者可以选择以下三种订阅计划：

入门级：1个月，仅提供RAT；

专业级：3个月，提供高级DDNS和客户支持；

WARZONE RAT：6个月，提供高级DDNS、高级客户支持以及可隐藏进程、文件和启动的Rootkit。

图3.warzone[.]pw上的订阅计划

与此同时，Warzone RAT开发者还提供了另外两个选择：

• Exploit builder –允许将恶意软件嵌入到DOC文件中；

• Crypter –打包恶意软件，以绕过安全检测。

图4.漏洞利用和加密程序订阅计划

此外，在该网站上还有一个公开访问的知识库，其中包含使用Warzone RAT构建器的指南。

图5.warzone[.]pw上的知识库

通过搜索，Check Point研究人员在VirusTotal上找到了Warzone RAT的安装包（可能是由Warzone RAT的购买者泄漏的）。

图6.遭泄露的Warzone RAT安装包

技术细节

初步分析显示，Warzone RAT是采用C++编写的，几乎与所有的Windows版本都兼容。

Warzone RAT的开发者还在warzonedns[.]com上提供了动态DNS服务，这意味着购买者不受IP地址更改的影响。

值得注意的是，Warzone RAT能够绕过UAC（用户帐户控制）以攻破Windows Defender，并将自身放入启动程序列表中。

UAC绕过

如果Warzone RAT是以提升后的权限运行的，那么它会使用如下PowerShell命令将一个完整的C:\路径添加到Windows Defender的排除项中：

powershell Add-MpPreference -ExclusionPath C:\

如不不是以提升后的权限运行的，它便会通过如下两种不同的方式绕过UAC并提升权限——一种针对Windows 10，另一种针对较旧版本：

• 对于Windows 10以下的版本，它将使用UAC旁路模块（该模块存储在其资源部分中）；

• 对于Windows 10，它将滥用sdclt.exe 的自动权限提升功能（该功能在Windows备份和还原机制的上下文中使用）。

图7.UAC绕过策略

长久驻留

Warzone RAT会将自身复制到C:\Users\User\AppData\Roaming\<INSTALL_NAME>.exe，并将此路径添加到HKCU\Software\Microsoft\Windows\CurrentVersion\Run。默认情况下，<INSTALL_NAME>是images.exe，但Warzone RAT的构建器允许购买者任意修改可执行文件的名称。

此外，它还会创建一个注册表配置单元HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UIF2IS2OVK并在其中的inst值下放置一个256字节的伪随机生成序列。

C2通信

Warzone RAT在5200端口通过TCP与C2服务器通信，数据包的有效载荷使用密码“warzone160\x00”通过RC4加密。

图8.未加密数据包的布局

图9.C2服务器的响应

发送给C2服务器数据包包含如下数据：

• MachineGUID的SHA-1值；

• Campaign ID；

• 操作系统版本

• 管理员状态；

• 计算机名称；

• 恶意软件的存储路径；

• 恶意文件MurmurHash3值；

• RAM大小；

• CPU信息；

• 显卡信息。

分析表明，bot ID是MachineGUID注册表值HKLM\Software\Microsoft\Cryptography中的一个SHA-1值。

通过接收来自C2服务器的命令，bot能够为攻击者提供如下能力：使用远程shell、RDP或VNC控制受感染的计算机、远程任务和文件管理，以及远程控制摄像头等等。

结语

尽管Warzone RAT被描述为合法软件，但它实际上是具有与其他RAT类似功能的木马病毒，可通过其他恶意软件或垃圾电子邮件进行传播。

如今，越来越多的计算机病毒开始以恶意软件即服务的形式被出售，且购买者还能够得到病毒开发者的持续技术支持。这些导致网络犯罪的门槛大大降低，几乎任何人都可以轻松开展新的恶意活动。

因此，我们再次提醒大家应重视网络安全，及时更新系统、安装补丁，并至少使用一款信得过的安全产品，至少应做到不随意打开任何来历不明的电子邮件或文件。