黑客通过虚假更新传播 NetSupport 管理器 RAT

翻译：360代码卫士团队

火眼公司发布报告称，几个月来新出现的攻击活动正在利用受攻陷网站传播虚假的软件更新，甚至在某些情况下传播 NetSupport 管理器远程访问工具 (RAT)。

NetSupport 管理器是一款商用 RAT，供管理员用于远程访问客户计算机。然而，这款合法应用可被恶意人员安装到受害者计算机上获取对受害者设备的未经授权的访问权限，而受害者对此毫不知情。

恶意软件滥用受攻陷网站并将 RAT 伪装成流行应用如 Adobe Flash、Chrome 和火狐的虚假更新。如果用户接受该更新，那么他们的计算机上从 Dropbox 链接下载一个恶意 JavaScript 。

这份文件收集基本的系统信息并发送给服务器、从服务器中接收其它命令，随后执行 JavaScript 传播最后的 payload。这个 JavaScript 的名称是 “Update.js”，它通过 wscript.exe 的帮助从 %AppData% 中执行。

恶意软件作者在初始的 JavaScript 上应用多层混淆并试图为研究人员分析第二个 JavaScript 文件增加难度。攻击者使用 caller 和 callee 函数代码获取解密密钥，确保在分析师添加或删除东西时，脚本不会检索密钥并且会通过异常终止。

初次执行后，JavaScript 初始化与命令和控制服务器的连接并且以编码格式发送值 “tid” 和当前的系统日期。该脚本随后会解码服务器响应并以名为 “step2” 的函数执行它。

这个函数收集、解码并发送多种系统信息，包括架构、计算机名称、用户名称、处理器、操作系统、域名、制造商、型号、BIOS 版本、反监控软件产品、反病毒产品、MAC 地址、键盘、点击设备、显示控制器配置和进程列表。

服务器随后以编码内容进行响应：一个名为 “step3” 和 “Update.js” 的函数，后者会下载并执行最终 payload。

代码利用 PowerShell命令从服务器下载多种文件，包括一个 7zip 独立可执行文件、包含 RAT 的受密码保护的文档文件以及将 NetSupport 客户端安装到系统上的一个批量脚本。

批量脚本也旨在禁用 Windows 出错报告和应用兼容性，并将远程控制客户端可执行文件添加到防火墙的受允许程序列表中、将 Run 注册表项添加到或将一个快捷文件下载到启动文件夹中以维持可持续性、隐藏文件、删除伪缺陷并执行 RAT。研究人员在分析过程中注意到该脚本由恶意软件常规更新。

凭借 NetSupport 管理器，攻击者能获取对受攻陷系统的远程访问权限、传输文件、启动应用、获取系统位置并远程检索库存和系统信息。

最后的 JavaScript 也下载包含 IP 地址列表的一个 txt 文件，而研究人员表示这些 IP 地址可能是受攻陷系统，它们基本属于美国、德国和荷兰以及其它地区等。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。