信息來源:安全內(nèi)參
遠程訪問木馬(RAT)通常都是網(wǎng)絡犯罪和國家黑客組織武器庫中價格不菲的“高精尖武器”。但近日,一個名為Dark Crystal的遠程訪問木馬(又名DCRat)在地下黑市標出了5美元的“白菜價”,震碎了網(wǎng)絡安全人士的三觀,同時也引發(fā)了業(yè)界廣泛的焦慮。
據(jù)悉,該木馬由一個獨立開發(fā)人員完成編碼,使用一種非常冷門的Web語言。研究人員認為如此內(nèi)卷的超低價格可能會引發(fā)惡意軟件的價格戰(zhàn),同時還標志著新的、顛覆性的惡意軟件開發(fā)商正在進入網(wǎng)絡犯罪市場。
根據(jù)軟件和安全公司BlackBerry的分析,該惡意軟件的一種極低成本變體,稱為Dark Crystal RAT(又名DCRat),似乎是唯一一家俄羅斯開發(fā)商的“作品”。開發(fā)者用流行的C#編寫代碼,同時也用相對晦澀的JPHP編寫了管理服務器,JPHP是在Java虛擬機上運行的PHP Web語言的克隆。該惡意軟件平臺受到入門級黑客的歡迎,因為它“物美價廉”,提供許多高級工具的功能,例如模塊化架構和自定義插件。
黑莓公司威脅情報總監(jiān)吉姆辛普森說,該惡意軟件目前還只是一個“小眾”威脅,但企業(yè)需要對這種新型惡意軟件“商業(yè)模式”保持高度警惕。
“超低價的惡意軟件本身并無特別之處,企業(yè)只需要注意并采取通常的預防措施?!彼a充說,“公司應確保其最終用戶接受過發(fā)現(xiàn)和報告可疑電子郵件的培訓,并部署了多因素身份驗證。”
然而,該軟件的超低價格給安全研究人員敲響了一些警鐘。研究人員表示,在合法軟件的世界中,開源和免費是主流游戲規(guī)則,但唯利是圖的網(wǎng)絡犯罪分子提供如此低價格的工具是一種反?,F(xiàn)象。
黑莓研究人員在分析中表示:“5美元的超低定價非常奇怪,看起來作者并不是特別受利潤驅(qū)動?!薄翱赡苁撬麄冎皇窃谌鼍W(wǎng),試圖從更多心懷不軌的人那里‘薄利多銷’。也可能是他們有其他資金來源,或者這只是一個激情項目,而不是他們的主要收入來源?!?
辛普森指出,獨狼運營商的運營成本和管理費用較低,因此可能會導致價格下降。此外,雖然價格最初定為500盧布,但由于俄羅斯貨幣貶值,開發(fā)者隨后選擇用美元定價。
研究人員說:“白菜價的工具通常功能有限且缺乏技術支持,但DCRat完全顛覆了安全研究人員的認知?!薄斑@個RAT木馬的代碼每天都在改進和維護。如果該項目是由一個人開發(fā)和維持的,那么這個人必須全職投入這個項目?!?
根據(jù)事件響應公司Mandiant 2020年5月的分析,Dark Crystal惡意軟件至少早在2018年就首次出現(xiàn),其程序是用Java編寫的。2019年,開發(fā)者添加了自定義插件框架,并使用C#重新設計了程序。根據(jù)Mandiant的分析,2020年,該程序至少有50個不同的命令,并引起了事件響應者的注意。
DCRat惡意軟件具有三個不同的組件:在受感染系統(tǒng)上運行的惡意程序、用PHP編寫的用作命令和控制界面的單個網(wǎng)頁,以及用JPHP編寫的管理員工具,JPHP是一種不常見的編程語言,用戶通常是對游戲感興趣的初級程序員。黑莓的辛普森說,使用JPHP很可能是因為開發(fā)人員精通這種編程語言,而不是因為任何特定的優(yōu)勢。
“客戶端現(xiàn)在是基于.NET的,”他說?!爸挥泄芾砻姘濉⒎掌鞫耸怯肑PHP開發(fā)的,不太可能因為它的混淆性而被選中,更有可能是因為它易于開發(fā)和操作系統(tǒng)之間的可移植性?!?
DCRat的進化正好符合網(wǎng)絡犯罪組織創(chuàng)建自己的基礎設施的趨勢,其目標是將訪問、入侵和勒索軟件轉化為服務。雖然一些遠程訪問平臺——例如以工業(yè)控制系統(tǒng)(ICS)為重點的Pipedream——是由民族國家支持的黑客組織的產(chǎn)品,但其他一些較小的網(wǎng)絡犯罪運營商群體專注于領先于防御者和逆向工程師,就像DCRat一樣。
例如,在國際調(diào)查人員和執(zhí)法機構搗毀了REvil并且俄羅斯逮捕了該組織的一些成員之后,REvil惡意軟件已經(jīng)起死回生。最近的勒索軟件樣本和重構的基礎設施表明,與以前的運營商有聯(lián)系的某個人或某個團體現(xiàn)在正在復興該勒索軟件即服務(RaaS)產(chǎn)品。
黑莓團隊指出,雖然DCRat本身威脅性并不是很大,但該攻擊工具的迭代改進速度非???,威脅情報分析師應密切關注其動態(tài)。