網絡安全公司Cybereason於近日發文稱,該公司旗下Nocturnus團隊正在追蹤一起“黑吃黑”的網絡黑客活動。
在這起活動中,攻擊者將遠控木馬njRat植入了他人開發的黑客工具,並將這些工具發佈在了各大黑客論壇和網站上,旨在獲取儘可能多的計算機的完全訪問權限。
惡意軟件分析
如上所述,njRat是一種遠控木馬,允許攻擊者在受感染計算機上執行按鍵記錄、屏幕截圖、文件操作、使用網絡攝像頭拍照以及使用麥克風錄製音頻。
儘管njRat如今已被網絡黑客廣泛使用,但近期出現的一個特殊感染實例還是引起了Nocturnus團隊的注意。
圖1. Cybereason防禦平臺檢測到的首個njRat特殊感染實例
惡意進程看上去像是合法的Windows應用程序explorer.exe,但它卻關聯到了兩個第三方IP地址:capeturk.com(104.206.239.81)和anandpen.com(209.99.16.94)。
其中,anandpen.com歸屬於一家印度辦公用品製造商,但實際上早已遭到黑客入侵,被用於託管惡意軟件——本文中提到的njRat就是通過anandpen.com上的“/wp-includes/images/media/1/explorer.zip”路徑提供的。
圖2.被黑掉的WordPress網站
進一步調查發現,同一服務器上託管有數十種不同的njRat樣本,所有這些樣本都具有合法的Windows進程名稱,如svchost.exe或explorer.exe,但它們實際上都是在%AppData%下的子目錄中執行。
“黑吃黑”模式分析
調查發現,幾乎所有受害者都有一個共同點——計算機上安裝了許多黑客工具,而這些工具或多或少都存在一些漏洞。正是利用這些工具存在的漏洞,攻擊者將njRat植入了其中。
SQLi Dumper就是眾多黑客工具中的一個,它原本是一款用於執行各種SQL注入和數據轉儲的工具。
圖3. 受害者計算機上的SQLi Dumper註冊器
再說上面提到的另一個域名——capeturk.com。
在2018年6月之前,這個域名屬於一家土耳其遊戲公司,作為知名遊戲《我的世界(Minecraft)》的網站。但在2018年11月25日到期之後,它被一個越南人註冊,並開始被用於託管惡意軟件。
Nocturnus團隊調查發現,capeturk.com目前託管有大約700個惡意軟件樣本,並且這個數字每天都在增長。
此外,不同的capeturk.com子域所對應的軟件也不同。
例如,與blog.capeturk.com相關的所有樣本都對應各種滲透測試和黑客工具,而其他子域則對應的是Chrome瀏覽器安裝程序、本機Windows應用程序以及其他與黑客或滲透測試無關的程序。
圖4.偽裝成NVIDIA服務的njRat樣本
結語
在獲取到受感染計算機的完全訪問權限之後,攻擊者能夠執行數據竊取或者利用這些計算機發起DDoS攻擊。
Nocturnus團隊在調查後得出結論,這場“黑吃黑”的網絡黑客活動似乎已經持續了長達數年之久。雖然還無法明確攻擊者的身份,但可以肯定的是,目前已有不少人成為了受害者。
閱讀更多 黑客視界 的文章
