查看原文
其他

Orcus RAT打着“合法经营”的幌子地下黑客论坛散播

2016-07-07 E安全 E安全

E安全7月7日讯, MalwareHunterTeam的安全研究人员在多个恶意软件样本中发现Orcus Orcus是一个远程管理工具(RAT)。这些恶意文件被用来感染使用RAT客户端版本的用户。

Orcus RAT打着“合法经营”的幌子

Orcus在网站首页刊登广告称自己是一款远程管理工具,与TeamViewer和其它应用程序类似。

不幸的是,Orcus却不像其它类似应用程序般“干净”,因为Orcus公然发布非法功能,比如“恢复”知名应用程序的浏览cookies和密码,发起服务器压力测试(DDoS攻击),记录麦克风输入,伪造文件扩展名、日志按键等等。

许多这些功能作为Orcus包的插件使用,售价40美元,付款方式为比特币或PayPal账号。

根据官网内容,Orcus RAT由Orcus技术公司(Orcus Technologies)管理。Orcus RAT网站未包含有关Orcus Technologies的注册号或其它任何类型的官方详细信息。

官网称,“Orcus Technologies注册在加拿大安大略省,是Sorzus和Armada的杰作。产品主要关注网络并以可靠的技术模式轻易获取网络资源”。

即使Orcus团队有GitHub页面和官网,但Orcus RAT的开发者Sorzus 和 Armada仍在HackForums.net上推广Orcus RAT。HackForums.net是一个发现、购买并销售黑客工具、漏洞利用和恶意软件的知名论坛。

将所有证据考虑在内就会发现,这两人间接揭露了Orcus软件的目标群体,几乎承认了“远程管理工具”其实就是“远程管理木马”。

Orcus RAT –技术细节

据Sorzus所说,Orcus是只感染Windows计算机的RAT,并采用三元基础设施模式。Orcus具有管理面板、Orcus机器人程序(bot)以及中介服务器。

被感染的bot以及Orcus管理员使用中介服务器作为代理交换命令和传递被窃信息。Orcus买家使用GUI或命令行客户端与客户端交互。

功能与Blackshades RAT的“station”功能类似。也许Sorzus和Sorzus应该向Blackshades的开发人员Michael Hogue和 Alex Yucel吸取教训,Hogue虽免了牢狱之灾,但Yucel难逃长达57个月的监禁。

Sorzus补充道,“其它RAT [sic]没有另外的服务器。客户端直接连接到管理。Orcus使用的方法具有很多优点:你可以在VPS上承载服务器并管理Windows系统的客户端,多个管理可以连接,因此你能一起管理客户端—它们是同步的。”

Sorzus还表示,Orcus完全通过WPF【Windows Presentation Foundation】用Visual C#编写。

为了让Orcus管理员管理“客户端”,Orcus还提供了一个安卓应用程序。自6月4日以来,这个应用程序可在下载,截至目前,安装量为50-100。

恶意软件样本肆意散播

根据MalwareHunterTeam分析的恶意软件样本可以看出,Orcus Rat客户端的散播活动仍在持续。一些样本甚至散布破解版Orcus客户端。

其中一些样本签有无效的Apple、Microsoft或Notepad++证书。Orcus Rat运作使用的控制与命令服务器(从超过40个不同的恶意软件样本提取而来)如下图:


一些情况下,有IP指引回。CrypticVPN先前被爆与许多网络犯罪活动有关联。

MalwareHunter称,正如下图所见,有更多的DDNS【动态域名解析服务】与之有关,这就意味着不止一个攻击者在使用或一个攻击者使用多个域名。

好消息是杀毒引擎对于如何对Orcus RAT归类有更好的见解,将其列入“不良少年(bad boy)”类别中。

尚不清楚谁在散布这些样本。即使不是Sorzus 和 Armada,RAT作者与使用该恶意软件的人同样有罪,所以在Orcus RAT产品广泛散播并吸引执法人员注意之前,Sorzus和Armada可能需要重新考虑它们的行动。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒

E安全微信公众号: EAQapp

E安全新浪微博:weibo.com/EAQapp

E安全PC站点

E安全客服&投稿邮箱:eapp@easyaq.com

更多全球网络安全最新资讯,欢迎使用E安全APP客户端。


点击下方”阅读原文“即可下载安装E安全app

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存