E安全7月7日讯， MalwareHunterTeam的安全研究人员在多个恶意软件样本中发现Orcus。 Orcus是一个远程管理工具（RAT）。这些恶意文件被用来感染使用RAT客户端版本的用户。

Orcus RAT打着“合法经营”的幌子

Orcus在网站首页刊登广告称自己是一款远程管理工具，与TeamViewer和其它应用程序类似。

不幸的是，Orcus却不像其它类似应用程序般“干净”，因为Orcus公然发布非法功能，比如“恢复”知名应用程序的浏览cookies和密码，发起服务器压力测试（DDoS攻击），记录麦克风输入，伪造文件扩展名、日志按键等等。

许多这些功能作为Orcus包的插件使用，售价40美元，付款方式为比特币或PayPal账号。

根据官网内容，Orcus RAT由Orcus技术公司（Orcus Technologies）管理。Orcus RAT网站未包含有关Orcus Technologies的注册号或其它任何类型的官方详细信息。

官网称，“Orcus Technologies注册在加拿大安大略省，是Sorzus和Armada的杰作。产品主要关注网络并以可靠的技术模式轻易获取网络资源”。

即使Orcus团队有GitHub页面和官网，但Orcus RAT的开发者Sorzus 和 Armada仍在HackForums.net上推广Orcus RAT。HackForums.net是一个发现、购买并销售黑客工具、漏洞利用和恶意软件的知名论坛。

将所有证据考虑在内就会发现，这两人间接揭露了Orcus软件的目标群体，几乎承认了“远程管理工具”其实就是“远程管理木马”。

Orcus RAT –技术细节

据Sorzus所说，Orcus是只感染Windows计算机的RAT，并采用三元基础设施模式。Orcus具有管理面板、Orcus机器人程序（bot）以及中介服务器。

被感染的bot以及Orcus管理员使用中介服务器作为代理交换命令和传递被窃信息。Orcus买家使用GUI或命令行客户端与客户端交互。

功能与Blackshades RAT的“station”功能类似。也许Sorzus和Sorzus应该向Blackshades的开发人员Michael Hogue和 Alex Yucel吸取教训，Hogue虽免了牢狱之灾，但Yucel难逃长达57个月的监禁。

Sorzus补充道，“其它RAT [sic]没有另外的服务器。客户端直接连接到管理。Orcus使用的方法具有很多优点：你可以在VPS上承载服务器并管理Windows系统的客户端，多个管理可以连接，因此你能一起管理客户端—它们是同步的。”

Sorzus还表示，Orcus完全通过WPF【Windows Presentation Foundation】用Visual C#编写。

为了让Orcus管理员管理“客户端”，Orcus还提供了一个安卓应用程序。自6月4日以来，这个应用程序可在下载，截至目前，安装量为50-100。

恶意软件样本肆意散播

根据MalwareHunterTeam分析的恶意软件样本可以看出，Orcus Rat客户端的散播活动仍在持续。一些样本甚至散布破解版Orcus客户端。

其中一些样本签有无效的Apple、Microsoft或Notepad++证书。Orcus Rat运作使用的控制与命令服务器（从超过40个不同的恶意软件样本提取而来）如下图：

一些情况下，有IP指引回。CrypticVPN先前被爆与许多网络犯罪活动有关联。

MalwareHunter称，正如下图所见，有更多的DDNS【动态域名解析服务】与之有关，这就意味着不止一个攻击者在使用或一个攻击者使用多个域名。

好消息是杀毒引擎对于如何对Orcus RAT归类有更好的见解，将其列入“不良少年（bad boy）”类别中。

尚不清楚谁在散布这些样本。即使不是Sorzus 和 Armada，RAT作者与使用该恶意软件的人同样有罪，所以在Orcus RAT产品广泛散播并吸引执法人员注意之前，Sorzus和Armada可能需要重新考虑它们的行动。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒