当心无法检测的CrossRAT恶意软件以Windows、MacOS和Linux系统为目标
相关标签: # windows# 研究# 恶意软件# 攻击# 软件
就在上周,我们发表了一篇关于EFF/Lookout报告的详细文章,其中披露了一个名为Dark Caracal的新的高级持续威胁(APT)组织,该组织从事全球移动间谍活动。
尽管该报告披露了该组织针对手机而非电脑的成功大规模黑客行动,但它也揭示了一种新的跨平台恶意软件,称为克罗斯拉特(版本0.1),这被认为是由黑暗卡拉卡尔集团开发的。
CrossRAT是一种跨平台远程访问特洛伊木马,可针对Windows、Solaris、Linux和macOS这四种流行的桌面操作系统,使远程攻击者能够操纵文件系统、截屏、运行任意可执行文件,并在受感染的系统上获得持久性。
据研究人员称,Dark Caracal黑客不依赖任何“零日攻击”来传播其恶意软件;相反,它通过Facebook群组上的帖子和WhatsApp消息使用基本的社会工程,鼓励用户访问黑客控制的假网站并下载恶意应用程序。
CrossRAT是用Java编程语言编写的,这使得逆向工程师和研究人员可以轻松地对其进行反编译。
因为在撰写本文时,58种流行的防病毒解决方案(根据VirusTotal)中只有两种能够检测到CrossRAT,前NSA黑客帕特里克·沃德尔决定分析该恶意软件,并提供全面的技术概述,包括其持久性机制、命令和控制通信以及其能力。
CrossRAT 0.1—;跨平台持久监视恶意软件
一旦在目标系统上执行,植入物(hmar6。罐子)首先检查运行它的操作系统,然后相应地安装自己。
除此之外,CrossRAT植入还试图收集有关受感染系统的信息,包括已安装的操作系统版本、内核构建和体系结构。
此外,对于Linux系统,恶意软件还试图查询systemd文件以确定其分布,如Arch Linux、Centos、Debian、Kali Linux、Fedora和Linux Mint等。
CrossRAT然后实现特定于操作系统的持久性机制,以便在受感染的系统重新启动时自动(重新)执行,并向C&;C服务器,允许远程攻击者发送命令并过滤数据。
正如Lookout研究人员所报道的那样,黑斑羚黑客组织分发的CrossRAT变种与flexberry(dot)com在端口2223上,其信息硬编码在“crossrat/k.class”文件中。
CrossRAT包括非活动键盘记录器模块
有趣的是,Patrick注意到CrossRAT也被编程为使用“jnativehook”,一个开源Java库来监听键盘和鼠标事件,但恶意软件没有任何预定义的命令来激活这个键盘记录器。
“然而,我在该植入物中没有看到任何引用jnativehook包的代码—;因此目前看来,该功能似乎没有被利用?对此可能有一个很好的解释。正如报告中所指出的,该恶意软件将其版本识别为0.1,可能表明它仍在进行中,因此没有功能c完成,”帕特里克说。
如何检查你是否感染了CrossRAT?
由于CrossRAT以特定于操作系统的方式存在,因此检测恶意软件将取决于您运行的操作系统。
对于Windows:
- 检查“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\”注册表项。
- 如果被感染,它将包含一个命令,其中包括java、-jar和mediamgrs。罐子
- 检查jar文件mediamgrs。jar,在~/库中。
- 在/Library/LaunchAgents或~/Library/LaunchAgents中查找名为mediamgrs的启动代理。普利斯特。
- 检查jar文件mediamgrs。jar,in/usr/var。
- 还可以在~/中查找“autostart”文件。config/autostart可能命名为mediamgrs。桌面
如何防范CrossRAT特洛伊木马?
帕特里克说:“由于CrossRAT是用Java编写的,所以需要安装Java。幸运的是,macOS的最新版本没有随Java一起提供。”。
“因此,大多数macOS用户应该是安全的!当然,如果一个Mac用户已经安装了Java,或者攻击者能够强迫一个幼稚的用户先安装Java,CrossRAT将运行得很好,即使是在最新版本的macOS上(High Sierra)。”建议用户安装基于行为的威胁检测软件。Mac用户可以使用BlockBlock,这是Patrick开发的一个简单实用程序,可以在持续安装任何东西时提醒用户。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
