跨平臺隱藏很深的惡意軟體CrossRAT
如果有Linux或Mac OS的用戶,覺得自己使用的操作非常安全,
上周的報導中提到了一個新的高持續性威脅組織(APT),名為Dark Caracal,正在全球發起一個手機間諜軟體攻勢。其中就提到一個跨平臺的惡意軟體CrossRAT (version 0.1),它是一個遠端控制的木馬程式,可以感染目前世界上所有的作業系統,包括 Windows, Solaris, Linux, MacOS。駭客可以遠端修改電腦中的檔案系統、螢幕截圖、運行可執行檔等操作。
根據目前的發現,該組織的駭客沒有利用已知的零日漏洞來傳播該惡意軟體,而是通過最基礎的社會工程方法,在社交網站和網路聊天工具中發送連結,誘使使用者打開假冒網站下載惡意程式。CrossRAT使用Java語言編寫,可以讓工程師和研究人員反編譯它。
截至發稿,在58個殺毒軟體中,只有2個能識別出CrossRAT惡意軟體,前NSA駭客Patrick Wardle準備對它的代碼進行分析後對它的運行機制進行了說明。一旦在目標主機上運行後,hmar6.jar檔首先對主機的作業系統進行判定,然後根據作業系統執行相應的程式,在安裝的同時還會手機主機的作業系統版本、內核版本和架構。對於不同的Linux系統來說,它還會分析不同版本的系統檔差異來判定是什麼版本的Linux。
根據Lookout機構的研究人員發現,Dark Caracal通過2223埠的flexberry.com網站來傳播CrossRAT惡意程式,核心資訊在crossrat/k.class檔內,無法進行修改。
CrossRAT內包括了一些基本的監視工具,只需要遠端伺服器發出相關指令就可以啟動其中的監視功能。 Patrick還發現在CrossRAT程式中雖然使用了開源Java庫jnativehook,可以用來記錄鍵盤和滑鼠的行為軌跡,
如何在系統中查看是否中了CrossRAT?
Windows系統:檢查 'HKCUSoftwareMicrosoftWindowsCurrentVersionRun' 鍵值,如果發現其中包含 java、-jar、mediamgrs.jar說明已經感染了。
MacOS系統:檢查~/Library中是否含有jar file、mediamgrs.jar檔,在 /Library/LaunchAgents或~/Library/LaunchAgents中查找是否有名為mediamgrs.plist的啟動項。
Linux系統:在/usr/var中查找是否含有jar file、mediamgrs.jar,在~/.config/autostart查找名為mediamgrs.desktop的自開機檔案。
如何免受 CrossRAT攻擊?由於CrossRAT使用Java編寫,因此需要主機上預先安裝Java,而最新版的Mac OS不會預裝Java,這樣可以有效減少被感染的機率。因此最好的方法就是不管是什麼作業系統的主機上,不要安裝Java。
更多有趣的科技文章,歡迎關注我們:
http://www.wttech.org/