如果有Linux或Mac OS的用戶, 覺得自己使用的操作非常安全, 沒有病毒危險, 現在可能會有所改變了。 最新發現的跨平臺間諜惡意軟體CrossRAT可以感染多個作業系統平臺,
上周的報導中提到了一個新的高持續性威脅組織(APT), 名為Dark Caracal, 正在全球發起一個手機間諜軟體攻勢。 其中就提到一個跨平臺的惡意軟體CrossRAT (version 0.1), 它是一個遠端控制的木馬程式, 可以感染目前世界上所有的作業系統, 包括 Windows, Solaris, Linux, MacOS。 駭客可以遠端修改電腦中的檔案系統、螢幕截圖、運行可執行檔等操作。
根據目前的發現, 該組織的駭客沒有利用已知的零日漏洞來傳播該惡意軟體, 而是通過最基礎的社會工程方法, 在社交網站和網路聊天工具中發送連結, 誘使使用者打開假冒網站下載惡意程式。 CrossRAT使用Java語言編寫, 可以讓工程師和研究人員反編譯它。
截至發稿, 在58個殺毒軟體中, 只有2個能識別出CrossRAT惡意軟體, 前NSA駭客Patrick Wardle準備對它的代碼進行分析後對它的運行機制進行了說明。 一旦在目標主機上運行後, hmar6.jar檔首先對主機的作業系統進行判定, 然後根據作業系統執行相應的程式, 在安裝的同時還會手機主機的作業系統版本、內核版本和架構。
根據Lookout機構的研究人員發現, Dark Caracal通過2223埠的flexberry.com網站來傳播CrossRAT惡意程式, 核心資訊在crossrat/k.class檔內, 無法進行修改。
CrossRAT內包括了一些基本的監視工具, 只需要遠端伺服器發出相關指令就可以啟動其中的監視功能。 Patrick還發現在CrossRAT程式中雖然使用了開源Java庫jnativehook, 可以用來記錄鍵盤和滑鼠的行為軌跡, 但是在CrossRAT內部沒有預置的啟動鍵盤記錄器的命令。 這意味著CrossRAT以後很有可能會更新, 增加更多的功能。
如何在系統中查看是否中了CrossRAT?
Windows系統:檢查 'HKCUSoftwareMicrosoftWindowsCurrentVersionRun' 鍵值, 如果發現其中包含 java、-jar、mediamgrs.jar說明已經感染了。
MacOS系統:檢查~/Library中是否含有jar file、mediamgrs.jar檔, 在 /Library/LaunchAgents或~/Library/LaunchAgents中查找是否有名為mediamgrs.plist的啟動項。
Linux系統:在/usr/var中查找是否含有jar file、mediamgrs.jar, 在~/.config/autostart查找名為mediamgrs.desktop的自開機檔案。
如何免受 CrossRAT攻擊?由於CrossRAT使用Java編寫, 因此需要主機上預先安裝Java, 而最新版的Mac OS不會預裝Java, 這樣可以有效減少被感染的機率。 因此最好的方法就是不管是什麼作業系統的主機上,
更多有趣的科技文章, 歡迎關注我們:
http://www.wttech.org/