134期报告汇总
安天发布《WebMonitor RAT 商业远控分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 款 使 用 C2-as-a-Service(C2aaS), 即 “命令与控制服务器即服务”的商业远控 RAT,其名为 WebMonitor。
WebMonitor RAT 通常在地下论坛中 出售,2017 年 5 月出现在 hackforums 论坛 中,分为三种版本,价格分别为 14.99、 24.99、29.99 欧元。除了在 hackforums 上 进行出售,revcode.eu 也是其主要销售与 服务的网站。
WebMonitor 的 服 务 器 商 拥 有 基 于 Web 的界面,提供了包含 VPN 和 C2 的 服务。其有两种界面选项,原始的“精简 版”与功能复杂的“企业版”。其提供了一系列功能,其中包括注入 DLL、蓝牙管 理、浏览器插件及其图像缓存、系统各项 证书密码、键盘记录、摄像头操作、系统 各项信息等。WebMonitor 的客户端使用 Visual Basic 6 编 写, 使 用 UPX 加 壳, 运 行后会安装到 \%USERNAME%\AppData\ Roaming\REVCODE-***.EXE, 在 注 册 表中会创建自启动键。客户端生成器可以 选择安装时不弹出安装窗口,生成功能与 C2aaS 相关联,使用者并不能运行他们自 己的 C2,WebMonitor 为使用者提供虚拟 主机名,使用者可以直接通过 Web 界面 进行访问,其 C2 域与销售网站 revcode.eu 相同。
WebMonitor RAT 虽 然 拥 有 多 种 访问和控制受害者的功能,但由于其使用了 “C2aaS”模式,对其检测就变得较容易。 安天 CERT 提醒广大网络使用者,要提高 网络安全意识,在日常工作中要及时进行 系统更新和漏洞修复,不要随意下载非正 版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。目前,安天追影产品已经实现了对该 类恶意代码的检出。
