近日,一种名为 Borat 的新型远程访问木马 (RAT) 出现在暗网市场上,提供易于使用的功能,可以进行 DDoS 攻击、UAC 绕过和勒索软件部署。
作为 RAT,Borat 让远程攻击者能够完全控制受害者的鼠标和键盘,访问文件、网络连接,并隐藏他们的踪迹。
该恶意软件允许其攻击者选择他们的编译选项来创建小型有效载荷,并利用这些载荷进行高度定制的攻击。
Cyble的研究人员对 Borat 进行了采样研究,分析其功能。
Borat 的一些功能
▌广泛的功能
目前尚不清楚 Borat RAT 是否在网络犯罪分子之间出售或免费共享,但 Cycle 表示它以包含了构建器、恶意软件模块和服务器证书的包的形式出现。
Borat RAT 档案中的文件
该木马的每个功能都有自己的专用模块,包括以下内容:
-
键盘记录:监控和记录按键,并将它们存储在 txt 文件中
-
勒索软件:将勒索软件有效载荷部署到受害者的机器上,并通过 Borat 自动生成勒索提醒
-
DDoS:使用受感染机器的资源将垃圾流量引导到目标服务器
-
录音:通过麦克风录制音频,并将其存储在 wav 文件中
-
网络摄像头录制:从网络摄像头录制视频
-
远程桌面:启动隐藏的远程桌面以执行文件操作、使用输入设备、执行代码、启动应用程序等
-
反向代理:设置反向代理以保护远程攻击者的身份不被暴露
-
设备信息:收集基本系统信息
-
进程空心化:将恶意软件代码注入合法进程以逃避检测
-
凭证窃取:窃取存储在基于 Chromium 的 Web 浏览器中的帐户凭证
-
不一致令牌窃取:从受害者那里窃取不一致的令牌
-
其他功能:通过播放音频、交换鼠标按钮、隐藏桌面、隐藏任务栏、按住鼠标、关闭显示器、显示空白屏幕或挂起系统来扰乱和迷惑受害者
更多 Borat 的广告功能
正如 Cyble 的分析所示, Borat 本质上是一种 RAT、间谍软件和勒索软件,可以在设备上进行各种恶意活动,需要引起高度警惕。
总而言之,尽管 RAT 的开发人员决定以喜剧电影 Borat 的主角的名字命名,但该恶意软件却不能真正被当成一个玩笑等闲视之。
Bleeping Computer通过深入挖掘试图找到该恶意软件的来源,发现该有效载荷可执行文件最近被识别为 AsyncRAT。
攻击者通常通过伪装成游戏和应用程序破解的附加可执行文件或文件来扩散分发这些工具,因此请注意不要从不可靠的来源(例如种子或暗网)下载任何东西。
当然,仅仅依靠主观保持警惕,很难做到严防死守,因此企业可能更多地依赖于自身建立的防御体系。
那么企业真正需要考虑的问题是,自身防御体系是否能够抵御这些不断涌现的新型的恶意软件?
塞讯验证聚集了业界杰出的安全分析团队,为客户解答这一疑问。塞讯安全实验室全天候追踪互联网黑客组织和漏洞,利用得到的一手情报,及时还原攻击手法,让客户利用这些真实攻击场景来验证防御体系的有效性。
塞讯安全度量验证平台是一个安全监测平台,可以持续地测试、度量和提高网络安全效率。同时为IT环境提供了度量工具,参照真实攻击进行可重复的持续性端到端的测试,从而验证已部署的安全措施正在按照预期效果工作,并可主动发现环境中的变更的影响,进行告警。
| 参考来源:
https://www.bleepingcomputer.com/news/security/new-borat-remote-access-malware-is-no-laughing-matter/