300塊一天 國內黑客售賣新型遠控工具
近日,瑞星威脅情報平臺率先捕獲到一批攻擊流程異常復雜的.NET惡意程序,經瑞星安全研究院深入分析發現,這些惡意程序實則是一整套黑產工具,名為“FastDesktop”,該工具可以通過衍生出的病毒及變種遠程控制用戶主機,并上傳用戶隱私信息。經溯源發現該病毒作者疑為國內黑客,通過售賣這套黑產工具牟取利益,定價為300塊/天。(獲取完整報告關注“瑞星企業安全”,回復關鍵字“FastDesktop”)
瑞星安全專家介紹,在通過對多個同類樣本進行分析后發現,這批惡意程序為后門病毒,其中的兩大版本均是通過DLL劫持進行攻擊的,攻擊者通過調用系統進程svchost.exe,以服務形式加載一個正規迅雷的庫文件fdsvc.dll,然后在該庫文件執行的時候再導入偽裝成迅雷的另一個惡意文件libexpat.dll,同時由于在攻擊流程中負責執行攻擊功能的文件都是DLL庫,需要被加載進內存才可以執行,因此依靠“捕獲-響應”、基于特征或哈希的傳統反病毒技術很難檢測出這類惡意程序。
圖:“FastDesktop”中兩大版本的攻擊流程
病毒特點:
瑞星安全專家表示,近年來基于.NET開發的病毒日益增多,這源于其開源代碼多,開發速度快,開發成本低,因此有不少黑客都會采用.NET編寫惡意程序。而此次瑞星截獲的“FastDesktop”,相較一般.NET惡意程序而言,攻擊流程更加復雜,且初始攻擊模塊的惡意行為度很低,結構簡單,因此隱匿性更強,不僅可以有效對抗查殺,還便于后期病毒版本的更新。
溯源:
通過更進一步的分析,瑞星威脅情報中心查詢到病毒作者使用到的其中一個域名Whois信息,通過點擊發現這是一個購買遠程控制軟件的網站。在經過注冊并登陸后顯示賬戶已經過期,需要用戶進行續費,并且界面中包括售前/售后、賬戶充值及管理端下載等主要功能,且定價為300/天。由此可知,“FastDesktop”制作者為國內黑客,制作這套工具,就是為了進行售賣,方便一些沒有開發能力的不法分子直接購買,對目標進行遠程控制類攻擊。
圖:“FastDesktop”制作者兜售遠控惡意軟件
值得一提的是,此次瑞星捕獲的"FastDesktop" system.dll,在VirusTotal今年3月的首次檢測報告中,僅瑞星一家國內廠商將其判定為“惡意”。這源于瑞星近年來在人工智能引擎技術方面的不斷研究,以及對.NET惡意軟件檢測能力上的兩項重要創新:
1.研發基于人工智能的.NET程序文件判定引擎。海量分析的基礎上總結抽象,設計一套適用于通用檢測和混淆檢測的向量化方案,將文件轉為1627維特征向量。特征點囊括潛在隱寫、動態加載、動態編譯、壓縮解壓縮、編碼解碼、加密解密、網絡下載等多方面的代碼意圖。
2.改進特征碼檢測技術。通過反編譯將.NET程序轉為結構化文本代碼,稱之為“程序主干”。結合智能特征碼,綜合主干中函數調用流、數據引用流、特殊指令流來抽象惡意代碼特征,規避二進制特征碼易繞過的缺點,但該方案需人工干預,響應速度和日處理量受限人力。
因此,瑞星在.NET惡意軟件檢測能力獲得了較大的提升,在緩解人工分析處理壓力的同時,也很好地獲得了對未知.NET惡意軟件的“預判”的能力。
