“白菜價”木馬或將引發惡意軟件價格戰

遠程訪問木馬（RAT）通常都是網絡犯罪和國家黑客組織武器庫中價格不菲的“高精尖武器”。但近日，一個名為Dark Crystal的遠程訪問木馬（又名DCRat）在地下黑市標出了5美元的“白菜價”，震碎了網絡安全人士的三觀，同時也引發了業界廣泛的焦慮。

據悉，該木馬由一個獨立開發人員完成編碼，使用一種非常冷門的Web語言。研究人員認為如此內卷的超低價格可能會引發惡意軟件的價格戰，同時還標志著新的、顛覆性的惡意軟件開發商正在進入網絡犯罪市場。

根據軟件和安全公司BlackBerry的分析，該惡意軟件的一種極低成本變體，稱為Dark Crystal RAT（又名DCRat），似乎是唯一一家俄羅斯開發商的“作品”。開發者用流行的C#編寫代碼，同時也用相對晦澀的JPHP編寫了管理服務器，JPHP是在Java虛擬機上運行的PHP Web語言的克隆。該惡意軟件平臺受到入門級黑客的歡迎，因為它“物美價廉”，提供許多高級工具的功能，例如模塊化架構和自定義插件。

黑莓公司威脅情報總監吉姆辛普森說，該惡意軟件目前還只是一個“小眾”威脅，但企業需要對這種新型惡意軟件“商業模式”保持高度警惕。

“超低價的惡意軟件本身并無特別之處，企業只需要注意并采取通常的預防措施。”他補充說，“公司應確保其最終用戶接受過發現和報告可疑電子郵件的培訓，并部署了多因素身份驗證。”

然而，該軟件的超低價格給安全研究人員敲響了一些警鐘。研究人員表示，在合法軟件的世界中，開源和免費是主流游戲規則，但唯利是圖的網絡犯罪分子提供如此低價格的工具是一種反常現象。

黑莓研究人員在分析中表示：“5美元的超低定價非常奇怪，看起來作者并不是特別受利潤驅動。”“可能是他們只是在撒網，試圖從更多心懷不軌的人那里‘薄利多銷’。也可能是他們有其他資金來源，或者這只是一個激情項目，而不是他們的主要收入來源。”

辛普森指出，獨狼運營商的運營成本和管理費用較低，因此可能會導致價格下降。此外，雖然價格最初定為500盧布，但由于俄羅斯貨幣貶值，開發者隨后選擇用美元定價。

研究人員說：“白菜價的工具通常功能有限且缺乏技術支持，但DCRat完全顛覆了安全研究人員的認知。”“這個RAT木馬的代碼每天都在改進和維護。如果該項目是由一個人開發和維持的，那么這個人必須全職投入這個項目。”

根據事件響應公司Mandiant 2020年5月的分析，Dark Crystal惡意軟件至少早在2018年就首次出現，其程序是用Java編寫的。2019年，開發者添加了自定義插件框架，并使用C#重新設計了程序。根據Mandiant的分析，2020年，該程序至少有50個不同的命令，并引起了事件響應者的注意。

DCRat惡意軟件具有三個不同的組件：在受感染系統上運行的惡意程序、用PHP編寫的用作命令和控制界面的單個網頁，以及用JPHP編寫的管理員工具，JPHP是一種不常見的編程語言，用戶通常是對游戲感興趣的初級程序員。黑莓的辛普森說，使用JPHP很可能是因為開發人員精通這種編程語言，而不是因為任何特定的優勢。

“客戶端現在是基于.NET的，”他說。“只有管理面板、服務器端是用JPHP開發的，不太可能因為它的混淆性而被選中，更有可能是因為它易于開發和操作系統之間的可移植性。”

DCRat的進化正好符合網絡犯罪組織創建自己的基礎設施的趨勢，其目標是將訪問、入侵和勒索軟件轉化為服務。雖然一些遠程訪問平臺——例如以工業控制系統(ICS)為重點的Pipedream——是由民族國家支持的黑客組織的產品，但其他一些較小的網絡犯罪運營商群體專注于領先于防御者和逆向工程師，就像DCRat一樣。

例如，在國際調查人員和執法機構搗毀了REvil并且俄羅斯逮捕了該組織的一些成員之后，REvil惡意軟件已經起死回生。最近的勒索軟件樣本和重構的基礎設施表明，與以前的運營商有聯系的某個人或某個團體現在正在復興該勒索軟件即服務(RaaS)產品。

黑莓團隊指出，雖然DCRat本身威脅性并不是很大，但該攻擊工具的迭代改進速度非常快，威脅情報分析師應密切關注其動態。

（來源：@GoUpSec）