信息來源:安全內(nèi)參
遠(yuǎn)程訪問木馬(RAT)通常都是網(wǎng)絡(luò)犯罪和國家黑客組織武器庫中價(jià)格不菲的“高精尖武器”。但近日,一個(gè)名為Dark Crystal的遠(yuǎn)程訪問木馬(又名DCRat)在地下黑市標(biāo)出了5美元的“白菜價(jià)”,震碎了網(wǎng)絡(luò)安全人士的三觀,同時(shí)也引發(fā)了業(yè)界廣泛的焦慮。
據(jù)悉,該木馬由一個(gè)獨(dú)立開發(fā)人員完成編碼,使用一種非常冷門的Web語言。研究人員認(rèn)為如此內(nèi)卷的超低價(jià)格可能會(huì)引發(fā)惡意軟件的價(jià)格戰(zhàn),同時(shí)還標(biāo)志著新的、顛覆性的惡意軟件開發(fā)商正在進(jìn)入網(wǎng)絡(luò)犯罪市場。
根據(jù)軟件和安全公司BlackBerry的分析,該惡意軟件的一種極低成本變體,稱為Dark Crystal RAT(又名DCRat),似乎是唯一一家俄羅斯開發(fā)商的“作品”。開發(fā)者用流行的C#編寫代碼,同時(shí)也用相對晦澀的JPHP編寫了管理服務(wù)器,JPHP是在Java虛擬機(jī)上運(yùn)行的PHP Web語言的克隆。該惡意軟件平臺(tái)受到入門級黑客的歡迎,因?yàn)樗拔锩纼r(jià)廉”,提供許多高級工具的功能,例如模塊化架構(gòu)和自定義插件。
黑莓公司威脅情報(bào)總監(jiān)吉姆辛普森說,該惡意軟件目前還只是一個(gè)“小眾”威脅,但企業(yè)需要對這種新型惡意軟件“商業(yè)模式”保持高度警惕。
“超低價(jià)的惡意軟件本身并無特別之處,企業(yè)只需要注意并采取通常的預(yù)防措施。”他補(bǔ)充說,“公司應(yīng)確保其最終用戶接受過發(fā)現(xiàn)和報(bào)告可疑電子郵件的培訓(xùn),并部署了多因素身份驗(yàn)證。”
然而,該軟件的超低價(jià)格給安全研究人員敲響了一些警鐘。研究人員表示,在合法軟件的世界中,開源和免費(fèi)是主流游戲規(guī)則,但唯利是圖的網(wǎng)絡(luò)犯罪分子提供如此低價(jià)格的工具是一種反常現(xiàn)象。
黑莓研究人員在分析中表示:“5美元的超低定價(jià)非常奇怪,看起來作者并不是特別受利潤驅(qū)動(dòng)。”“可能是他們只是在撒網(wǎng),試圖從更多心懷不軌的人那里‘薄利多銷’。也可能是他們有其他資金來源,或者這只是一個(gè)激情項(xiàng)目,而不是他們的主要收入來源?!?
辛普森指出,獨(dú)狼運(yùn)營商的運(yùn)營成本和管理費(fèi)用較低,因此可能會(huì)導(dǎo)致價(jià)格下降。此外,雖然價(jià)格最初定為500盧布,但由于俄羅斯貨幣貶值,開發(fā)者隨后選擇用美元定價(jià)。
研究人員說:“白菜價(jià)的工具通常功能有限且缺乏技術(shù)支持,但DCRat完全顛覆了安全研究人員的認(rèn)知?!薄斑@個(gè)RAT木馬的代碼每天都在改進(jìn)和維護(hù)。如果該項(xiàng)目是由一個(gè)人開發(fā)和維持的,那么這個(gè)人必須全職投入這個(gè)項(xiàng)目?!?
根據(jù)事件響應(yīng)公司Mandiant 2020年5月的分析,Dark Crystal惡意軟件至少早在2018年就首次出現(xiàn),其程序是用Java編寫的。2019年,開發(fā)者添加了自定義插件框架,并使用C#重新設(shè)計(jì)了程序。根據(jù)Mandiant的分析,2020年,該程序至少有50個(gè)不同的命令,并引起了事件響應(yīng)者的注意。
DCRat惡意軟件具有三個(gè)不同的組件:在受感染系統(tǒng)上運(yùn)行的惡意程序、用PHP編寫的用作命令和控制界面的單個(gè)網(wǎng)頁,以及用JPHP編寫的管理員工具,JPHP是一種不常見的編程語言,用戶通常是對游戲感興趣的初級程序員。黑莓的辛普森說,使用JPHP很可能是因?yàn)殚_發(fā)人員精通這種編程語言,而不是因?yàn)槿魏翁囟ǖ膬?yōu)勢。
“客戶端現(xiàn)在是基于.NET的,”他說?!爸挥泄芾砻姘?、服務(wù)器端是用JPHP開發(fā)的,不太可能因?yàn)樗幕煜远贿x中,更有可能是因?yàn)樗子陂_發(fā)和操作系統(tǒng)之間的可移植性?!?
DCRat的進(jìn)化正好符合網(wǎng)絡(luò)犯罪組織創(chuàng)建自己的基礎(chǔ)設(shè)施的趨勢,其目標(biāo)是將訪問、入侵和勒索軟件轉(zhuǎn)化為服務(wù)。雖然一些遠(yuǎn)程訪問平臺(tái)——例如以工業(yè)控制系統(tǒng)(ICS)為重點(diǎn)的Pipedream——是由民族國家支持的黑客組織的產(chǎn)品,但其他一些較小的網(wǎng)絡(luò)犯罪運(yùn)營商群體專注于領(lǐng)先于防御者和逆向工程師,就像DCRat一樣。
例如,在國際調(diào)查人員和執(zhí)法機(jī)構(gòu)搗毀了REvil并且俄羅斯逮捕了該組織的一些成員之后,REvil惡意軟件已經(jīng)起死回生。最近的勒索軟件樣本和重構(gòu)的基礎(chǔ)設(shè)施表明,與以前的運(yùn)營商有聯(lián)系的某個(gè)人或某個(gè)團(tuán)體現(xiàn)在正在復(fù)興該勒索軟件即服務(wù)(RaaS)產(chǎn)品。
黑莓團(tuán)隊(duì)指出,雖然DCRat本身威脅性并不是很大,但該攻擊工具的迭代改進(jìn)速度非???,威脅情報(bào)分析師應(yīng)密切關(guān)注其動(dòng)態(tài)。