CrossRAT 木馬通殺 Windows、MacOS、Linux

CCkicker發表於2018-01-30

你正在用Linux和MacOS系統嗎?如果你認為你的系統無法抵禦病毒,那你應該好好讀讀這篇文章。

 

大範圍的網路犯罪分子正在使用一種新型監視軟體,目標為Windows、MacOS、Solaris和Linux系統。

 

上週,我們公佈了一個關於EFF/Lookout報告的詳細文章,揭示了一個APT組織——Dark Caracal 正在謀劃參與一場全球移動間諜活動。

 

該組織成功入侵了全球大範圍的行動電話(而不是電腦),而且還極有可能開發了一種闊平臺惡意軟體——CrossRAT。

 

CrossRAT是一種跨平臺遠端訪問木馬,目標為目前最受歡迎的4款作業系統:Windows、Solaris、Linux和MacOS,允許攻擊者遠端造作檔案系統、截圖、執行任意可執行檔案,並持久停留在該受感染系統。

 

據調查,Dark Caracal的黑客並不依賴於任何一個0day漏洞來傳播其惡意軟體,與之相反,它通過Facebook和whatsapp上的推文和資訊來進行簡單的社工,引誘使用者訪問由黑客控制的虛假網站並下載惡意軟體。

 

CrossRAT軟體由Java程式語言編寫而成,因此逆向工程師很容易將之反編譯。

 

CrossRAT 0.1 ——跨平臺持續監測惡意軟體

CrossRAT一旦在目標系統上執行,植入檔案(hmar6.jar)會首先檢視該作業系統是否正在執行,若正在執行,就立刻自動安裝。

 

此外,CrossRAT植入物還會收集被感染系統的資訊,包括已安裝的OS版本、核心構建和架構。

 

針對Linux系統,該惡意軟體還會查詢systemd檔案,如Arch Linux, Centos, Debian, Kali Linux, Fedora, 和 Linux Mint,來決定其分配。

 

然後CrossRAT會執行OS特定永續性機制,並在受感染系統重啟時,自動執行。然後連線至C&C伺服器,允許黑客遠端傳送指令、竊取資料。

CrossRAT包含keylogger模組

 

該惡意軟體具有某種基本的監視功能,只有接收到來自C&C伺服器的提前定義好的指令時才能啟動。

 

此外,研究員還注意到CrossRAT還會使用“jnativehook”——一種開源Java library,可竊聽鍵盤和滑鼠活動,但不需要有任何預先設定的指令來啟用該功能。

如何檢測是否被CrossRAT 感染?

因為CrossRAT一直針對OS作業系統,所以你所執行的作業系統是檢測該惡意軟體的關鍵。

 

Windows

  • 檢查'HKCU\Software\Microsoft\Windows\CurrentVersion\Run\' 註冊碼
  • 若已被感染,其會包含有一個指令,如java,-jar和mediamgr.jar

macOS

  • 檢查jar檔案, mediamgrs.jar, in ~/Library
  • 查詢/Library/LaunchAgents or ~/Library/LaunchAgents中名為mediamgrs.plist的啟動代理

Linux:

  • 在/usr/var中檢查jar檔案,mediamgrs.jar
  • 在 ~/.config/autostart likely named mediamgrs.desktop中找到 'autostart' 檔案

如何避免感染CrossRAT木馬?

 

截至目前,在58款受歡迎的防毒軟體中,只有2款可以檢測到CrossRAT。那也就意味著你的防毒軟體很有可能無法保護你的電腦被CrossRAT所感染。

Pactrick稱:“因為CrossRAT由Java編寫而成,因此它要求該裝置裝有Java,幸運的 是最新幾個版本的MacOS都沒有裝Java”

 

建議使用者安裝一個基於行為檢測危險的軟體。Mac使用者可以使用BlockBlock,只要有東西在持續下載,便會警告使用者。

 

來源:thehackernews

 

本文由看雪翻譯小組 哆啦咪 編譯

相關文章