瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱 » 300块一天 国内黑客售卖新型远控工具
麦青儿 - 2022-4-27 17:36:00
近日,瑞星威胁情报平台率先捕获到一批攻击流程异常复杂的.NET恶意程序,经瑞星安全研究院深入分析发现,这些恶意程序实则是一整套黑产工具,名为“FastDesktop”,该工具可以通过衍生出的病毒及变种远程控制用户主机,并上传用户隐私信息。经溯源发现该病毒作者疑为国内黑客,通过售卖这套黑产工具牟取利益,定价为300块/天。(获取完整报告关注“瑞星企业安全”,回复关键字“FastDesktop”)

瑞星安全专家介绍,在通过对多个同类样本进行分析后发现,这批恶意程序为后门病毒,其中的两大版本均是通过DLL劫持进行攻击的,攻击者通过调用系统进程svchost.exe,以服务形式加载一个正规迅雷的库文件fdsvc.dll,然后在该库文件执行的时候再导入伪装成迅雷的另一个恶意文件libexpat.dll,同时由于在攻击流程中负责执行攻击功能的文件都是DLL库,需要被加载进内存才可以执行,因此依靠“捕获-响应”、基于特征或哈希的传统反病毒技术很难检测出这类恶意程序。

图:“FastDesktop”中两大版本的攻击流程

麦青儿 - 2022-4-27 17:37:00
病毒特点:

瑞星安全专家表示,近年来基于.NET开发的病毒日益增多,这源于其开源代码多,开发速度快,开发成本低,因此有不少黑客都会采用.NET编写恶意程序。而此次瑞星截获的“FastDesktop”,相较一般.NET恶意程序而言,攻击流程更加复杂,且初始攻击模块的恶意行为度很低,结构简单,因此隐匿性更强,不仅可以有效对抗查杀,还便于后期病毒版本的更新。

溯源:



通过更进一步的分析,瑞星威胁情报中心查询到病毒作者使用到的其中一个域名Whois信息,通过点击发现这是一个购买远程控制软件的网站。在经过注册登录后显示账户已经过期,需要用户进行续费,并且界面中包括售前/售后、账户充值及管理端下载等主要功能,且定价为300/天。由此可知,“FastDesktop”制作者为国内黑客,制作这套工具,就是为了进行售卖,方便一些没有开发能力的不法分子直接购买,对目标进行远程控制类攻击。

图:“FastDesktop”制作者兜售远控恶意软件


值得一提的是,此次瑞星捕获的"FastDesktop" system.dll,在VirusTotal今年3月的首次检测报告中,仅瑞星一家国内厂商将其判定为“恶意”。这源于瑞星近年来在人工智能引擎技术方面的不断研究,以及对.NET恶意软件检测能力上的两项重要创新:



因此,瑞星在.NET恶意软件检测能力获得了较大的提升,在缓解人工分析处理压力的同时,也很好地获得了对未知.NET恶意软件的“预判”的能力。
天月来了 - 2022-4-30 8:28:00
初始化要有 一个exe文件执行才有后续的行为,看来重要电脑禁止任何不明exe程序的执行太重要了

目前exe程序的常见运行起来一般也就是随意打开邮箱里的不明文件,随意百度上搜索下载自己以为没问题的软件运行等。移动存储设备带毒。

那种受局域网内的漏洞攻击也是典型的情况。

所以这个事还真不好弄。
1
查看完整版本: 300块一天 国内黑客售卖新型远控工具