信息來源：安全內(nèi)參

遠(yuǎn)程訪問木馬（RAT）通常都是網(wǎng)絡(luò)犯罪和國家黑客組織武器庫中價格不菲的“高精尖武器”。但近日，一個名為Dark Crystal的遠(yuǎn)程訪問木馬（又名DCRat）在地下黑市標(biāo)出了5美元的“白菜價”，震碎了網(wǎng)絡(luò)安全人士的三觀，同時也引發(fā)了業(yè)界廣泛的焦慮。

據(jù)悉，該木馬由一個獨立開發(fā)人員完成編碼，使用一種非常冷門的Web語言。研究人員認(rèn)為如此內(nèi)卷的超低價格可能會引發(fā)惡意軟件的價格戰(zhàn)，同時還標(biāo)志著新的、顛覆性的惡意軟件開發(fā)商正在進(jìn)入網(wǎng)絡(luò)犯罪市場。

根據(jù)軟件和安全公司BlackBerry的分析，該惡意軟件的一種極低成本變體，稱為Dark Crystal RAT（又名DCRat），似乎是唯一一家俄羅斯開發(fā)商的“作品”。開發(fā)者用流行的C#編寫代碼，同時也用相對晦澀的JPHP編寫了管理服務(wù)器，JPHP是在Java虛擬機上運行的PHP Web語言的克隆。該惡意軟件平臺受到入門級黑客的歡迎，因為它“物美價廉”，提供許多高級工具的功能，例如模塊化架構(gòu)和自定義插件。

黑莓公司威脅情報總監(jiān)吉姆辛普森說，該惡意軟件目前還只是一個“小眾”威脅，但企業(yè)需要對這種新型惡意軟件“商業(yè)模式”保持高度警惕。

“超低價的惡意軟件本身并無特別之處，企業(yè)只需要注意并采取通常的預(yù)防措施。”他補充說，“公司應(yīng)確保其最終用戶接受過發(fā)現(xiàn)和報告可疑電子郵件的培訓(xùn)，并部署了多因素身份驗證?！?

然而，該軟件的超低價格給安全研究人員敲響了一些警鐘。研究人員表示，在合法軟件的世界中，開源和免費是主流游戲規(guī)則，但唯利是圖的網(wǎng)絡(luò)犯罪分子提供如此低價格的工具是一種反?，F(xiàn)象。

黑莓研究人員在分析中表示：“5美元的超低定價非常奇怪，看起來作者并不是特別受利潤驅(qū)動?！薄翱赡苁撬麄冎皇窃谌鼍W(wǎng)，試圖從更多心懷不軌的人那里‘薄利多銷’。也可能是他們有其他資金來源，或者這只是一個激情項目，而不是他們的主要收入來源?！?

辛普森指出，獨狼運營商的運營成本和管理費用較低，因此可能會導(dǎo)致價格下降。此外，雖然價格最初定為500盧布，但由于俄羅斯貨幣貶值，開發(fā)者隨后選擇用美元定價。

研究人員說：“白菜價的工具通常功能有限且缺乏技術(shù)支持，但DCRat完全顛覆了安全研究人員的認(rèn)知?！薄斑@個RAT木馬的代碼每天都在改進(jìn)和維護(hù)。如果該項目是由一個人開發(fā)和維持的，那么這個人必須全職投入這個項目。”

根據(jù)事件響應(yīng)公司Mandiant 2020年5月的分析，Dark Crystal惡意軟件至少早在2018年就首次出現(xiàn)，其程序是用Java編寫的。2019年，開發(fā)者添加了自定義插件框架，并使用C#重新設(shè)計了程序。根據(jù)Mandiant的分析，2020年，該程序至少有50個不同的命令，并引起了事件響應(yīng)者的注意。

DCRat惡意軟件具有三個不同的組件：在受感染系統(tǒng)上運行的惡意程序、用PHP編寫的用作命令和控制界面的單個網(wǎng)頁，以及用JPHP編寫的管理員工具，JPHP是一種不常見的編程語言，用戶通常是對游戲感興趣的初級程序員。黑莓的辛普森說，使用JPHP很可能是因為開發(fā)人員精通這種編程語言，而不是因為任何特定的優(yōu)勢。

“客戶端現(xiàn)在是基于.NET的，”他說?！爸挥泄芾砻姘濉⒎?wù)器端是用JPHP開發(fā)的，不太可能因為它的混淆性而被選中，更有可能是因為它易于開發(fā)和操作系統(tǒng)之間的可移植性?！?

DCRat的進(jìn)化正好符合網(wǎng)絡(luò)犯罪組織創(chuàng)建自己的基礎(chǔ)設(shè)施的趨勢，其目標(biāo)是將訪問、入侵和勒索軟件轉(zhuǎn)化為服務(wù)。雖然一些遠(yuǎn)程訪問平臺——例如以工業(yè)控制系統(tǒng)(ICS)為重點的Pipedream——是由民族國家支持的黑客組織的產(chǎn)品，但其他一些較小的網(wǎng)絡(luò)犯罪運營商群體專注于領(lǐng)先于防御者和逆向工程師，就像DCRat一樣。

例如，在國際調(diào)查人員和執(zhí)法機構(gòu)搗毀了REvil并且俄羅斯逮捕了該組織的一些成員之后，REvil惡意軟件已經(jīng)起死回生。最近的勒索軟件樣本和重構(gòu)的基礎(chǔ)設(shè)施表明，與以前的運營商有聯(lián)系的某個人或某個團體現(xiàn)在正在復(fù)興該勒索軟件即服務(wù)(RaaS)產(chǎn)品。

黑莓團隊指出，雖然DCRat本身威脅性并不是很大，但該攻擊工具的迭代改進(jìn)速度非?？欤{情報分析師應(yīng)密切關(guān)注其動態(tài)。