“白菜价”木马或将引发恶意软件价格战
远程访问木马(RAT)通常都是网络犯罪和国家黑客组织武器库中价格不菲的“高精尖武器”。但近日,一个名为Dark Crystal的远程访问木马(又名DCRat)在地下黑市标出了5美元的“白菜价”,震碎了网络安全人士的三观,同时也引发了业界广泛的焦虑。
据悉,该木马由一个独立开发人员完成编码,使用一种非常冷门的Web语言。研究人员认为如此内卷的超低价格可能会引发恶意软件的价格战,同时还标志着新的、颠覆性的恶意软件开发商正在进入网络犯罪市场。
根据软件和安全公司BlackBerry的分析,该恶意软件的一种极低成本变体,称为Dark Crystal RAT(又名DCRat),似乎是唯一一家俄罗斯开发商的“作品”。开发者用流行的C#编写代码,同时也用相对晦涩的JPHP编写了管理服务器,JPHP是在Java虚拟机上运行的PHP Web语言的克隆。该恶意软件平台受到入门级黑客的欢迎,因为它“物美价廉”,提供许多高级工具的功能,例如模块化架构和自定义插件。
黑莓公司威胁情报总监吉姆辛普森说,该恶意软件目前还只是一个“小众”威胁,但企业需要对这种新型恶意软件“商业模式”保持高度警惕。
“超低价的恶意软件本身并无特别之处,企业只需要注意并采取通常的预防措施。”他补充说,“公司应确保其最终用户接受过发现和报告可疑电子邮件的培训,并部署了多因素身份验证。”
然而,该软件的超低价格给安全研究人员敲响了一些警钟。研究人员表示,在合法软件的世界中,开源和免费是主流游戏规则,但唯利是图的网络犯罪分子提供如此低价格的工具是一种反常现象。
黑莓研究人员在分析中表示:“5美元的超低定价非常奇怪,看起来作者并不是特别受利润驱动。”“可能是他们只是在撒网,试图从更多心怀不轨的人那里‘薄利多销’。也可能是他们有其他资金来源,或者这只是一个激情项目,而不是他们的主要收入来源。”
辛普森指出,独狼运营商的运营成本和管理费用较低,因此可能会导致价格下降。此外,虽然价格最初定为500卢布,但由于俄罗斯货币贬值,开发者随后选择用美元定价。
研究人员说:“白菜价的工具通常功能有限且缺乏技术支持,但DCRat完全颠覆了安全研究人员的认知。”“这个RAT木马的代码每天都在改进和维护。如果该项目是由一个人开发和维持的,那么这个人必须全职投入这个项目。”
根据事件响应公司Mandiant 2020年5月的分析,Dark Crystal恶意软件至少早在2018年就首次出现,其程序是用Java编写的。2019年,开发者添加了自定义插件框架,并使用C#重新设计了程序。根据Mandiant的分析,2020年,该程序至少有50个不同的命令,并引起了事件响应者的注意。
DCRat恶意软件具有三个不同的组件:在受感染系统上运行的恶意程序、用PHP编写的用作命令和控制界面的单个网页,以及用JPHP编写的管理员工具,JPHP是一种不常见的编程语言,用户通常是对游戏感兴趣的初级程序员。黑莓的辛普森说,使用JPHP很可能是因为开发人员精通这种编程语言,而不是因为任何特定的优势。
“客户端现在是基于.NET的,”他说。“只有管理面板、服务器端是用JPHP开发的,不太可能因为它的混淆性而被选中,更有可能是因为它易于开发和操作系统之间的可移植性。”
DCRat的进化正好符合网络犯罪组织创建自己的基础设施的趋势,其目标是将访问、入侵和勒索软件转化为服务。虽然一些远程访问平台——例如以工业控制系统(ICS)为重点的Pipedream——是由民族国家支持的黑客组织的产品,但其他一些较小的网络犯罪运营商群体专注于领先于防御者和逆向工程师,就像DCRat一样。
例如,在国际调查人员和执法机构捣毁了REvil并且俄罗斯逮捕了该组织的一些成员之后,REvil恶意软件已经起死回生。最近的勒索软件样本和重构的基础设施表明,与以前的运营商有联系的某个人或某个团体现在正在复兴该勒索软件即服务(RaaS)产品。
黑莓团队指出,虽然DCRat本身威胁性并不是很大,但该攻击工具的迭代改进速度非常快,威胁情报分析师应密切关注其动态。