螳螂捕蝉黄雀在后!地下黑客论坛免费远控木马被曝“后门”

简介:

黑客可在地下黑客论坛免费下载的远程访问木马“Cobian RAT”中包含秘密后门,原木马开发人员可借此访问所有受害者的数据。

网络安全公司Zscaler高级研究总监迪班·德赛表示,Cobian RAT自2017年2月在地下黑客论坛供其它黑客免费下载,原开发人员提供的“免费的生成器”可让其它黑客创建自定义Cobian RAT。

Zscaler分析这款生成器后发现一个有趣的功能:原开发人员在生成器工具中注入了从Pastebin URL(由原开发人员控制)获取C&C服务器信息的后门模块,这样一来,原开发人员可以控制被Payload(使用这个后门生成器生成的Payload)感染的系统。

Cobian RAT众包模式?从上图可以看出,原开发人员依赖二级操作人员创建这款RAT的 Payload并传播感染。之后借助后门模块完全控制所有被Cobian RAT僵尸网络感染的系统,原开发人员还能修改二级操作人员配置的C&C服务器信息。

黑客获取这个生成器,创建自定义Cobian RAT,并散布Payload,以此感染其它用户。

 

螳螂捕蝉黄雀在后!地下黑客论坛免费版RAT被曝“后门”-E安全

 

利用Pastebin文件在Cobian RAT中植入后门免费下载这款RAT的黑客并不知道,自定义Cobian RAT会秘密连接到原开发人员控制的Pastebin URL,而下载的黑客通过该URL接收新命令。

德赛表示,与Cobian RAT变种对应的Pastebin文件有4055个唯一访客点击量,这说明和部分系统已被感染。

这些系统被“两名”黑客访问:

传播自定义Cobian RAT的黑客

Cobian RAT原开发人员

Cobian RAT存在漏洞Cobian并未超越过去那些免费的RAT,因为对于菜鸟级黑客而言,并不是所有功能都奏效。

德赛指出,研究人员测试键盘记录模块后发现漏洞百出。因为当用户打字速度稍快时,该模块就无法准确捕获击键。这可能是这款RAT受欢迎程度不太高的原因。尽管Cobian半年以前就提供免费下载,但截止目前研究人员极少发现Cobian被大肆利用的情况。

德赛称,目前从未发现任何一起大规模攻击活动涉及Cobian RAT,但他们发现攻击分子通过被黑网站散布该RAT的少数孤立事件。尽管如此,抛开后门和键盘记录的劣势组件不谈,Cobian仍不比其它竞争RAT逊色多少。

德赛指出,Cobian RAT包含免费/付费RAT中的所有基本功能,包括:

键盘记录、截屏、网络摄像头、录音、文件浏览器、远程命令壳、动态插件、安装/卸载。

Cobian RAT中存在的后门还是抹杀了它未来的发展。后门被曝光之后,黑客可能不再愿意冒险下载这款工具。


本文转自d1net(转载)

相关文章
|
2月前
|
安全
[2006-04-12]一个下载传奇盗号木马的网站(第2版)
[2006-04-12]一个下载传奇盗号木马的网站(第2版)
|
安全
怀旧小虎队 谨防挂马网站和极虎病毒
“把你的心,我的心串一串,串一株幸运草,串一个同心圆,让所有期待未来的呼唤,趁青春做个伴……”小虎队唱着歌曲亮相春晚后,掀起了一股怀旧风——“80后”都是听着小虎队的歌长大的。 小虎队再度火了,搜索关键词“小虎队”的网民呈现爆炸式增长(图1),关键词“小虎队”蕴藏的“价值”自然逃不过挂马集团贪婪的眼睛,他们明白,如果利用关键词“小虎队”进行挂马,会有数以百万计、千万计的网民中招。
1113 0
|
Web App开发 安全
中国航运网遭遇挂马 黑客悄悄植入病毒
中国航运网(hxxp://www.zhongguohangyun.com/)被黑客植入病毒,用户如果访问该网页,系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。
811 0
|
安全
悲剧:金山毒霸官网被黑客攻破
6月2日下午两点左右,本网接读者反应,发现金山毒霸官网博客被黑客劫持,网页内容已面目全非。 在输入金山毒霸官网地址http://blog.duba.net/,已没有金山毒霸关于其产品的介绍及下载,变成了封署名为熊猫烧香致铁军的一封信,信中除了一些莫名其妙,令人费解的怪话外,附加了伟哥产品的图片,实为黑客的恶作剧。
1011 0
|
安全
3.15曝光“山寨”杀毒软件“杀毒三宗罪”
“山寨”版杀毒软件,不同于其他山寨手机等产品。对于山寨手机,除了需要用户忍受哇哇叫的刺耳铃声,最起码山寨手机在通讯及其他娱乐商务功能上,都可以满足用户需求,不会在产品功效上严重侵犯消费者权益。 而山寨杀软的威胁之处在于,消费者花费了同样的价钱,却得不到相同价值的产品质量保障。
931 0
|
安全
端午小长假谨防挂马网站 病毒模仿杀软骗取钱财
随着端午小长假的临近,上网人数增加,这段时间的挂马网站和木马病毒都有肆虐的趋势。5月25日,瑞星“云安全”系统就从截获的挂马网站中,发现了一个冒充杀毒软件、企图骗取钱财的广告软件病毒,并命名为“WINPC 广告病毒(Adware.Win32.Agent.Dbj)”。
1093 0
|
安全 测试技术
金山安全报告:二月漏洞频出 网站挂马猖獗
赚足眼球的“猫癣” 一款早在春节之前就已经发出预警的病毒,在大假结束后还是席卷了国内网络,无论称呼“猫癣”还是“犇牛”,被电脑用户们牢牢记住的都是名为usp10.dll的这个文件。 毒霸推出的“系统急救箱”在解决“猫癣”时发挥了很大的作用,好评不断,但在搜捕“猫癣”的过程中,金山毒霸反病毒工程师对病毒黑色产业链内幕的挖掘更加深入,这些内幕让人十分震惊。
1121 0