螳螂捕蟬黃雀在後，免費散播Cobian遠控工具背後的秘密

天下沒有免費的午餐。

這句話也適用於那些想要尋找黑客工具的人。如果你想在網上找個現成的入侵工具的話就要知道，很多號稱黑客「瑞士軍刀」的工具都是騙人的。

最近，多個地下黑客論壇出現一款免費的遠控生成器，這款工具內置了一個後門模塊，能夠讓工具作者獲取那些受害者的數據。

這款遠控被命名為Cobian，今年2月已經開始傳播。軟體與njRAT和H-Worm有很多相似點，後兩者至少在2013年已經存在。

來自Zscaler的ThreatLabZ研究人員發現這款惡意軟體，它可以幫助那些黑客小白輕鬆製作自己版本的Cobian遠控。

當黑客用這款免費工具創建自己版本的殺毒軟體時，然後通過入侵網站或者釣魚郵件散播，這樣黑客就可以把那些感染的主機納入到自己的殭屍網路中。

Cobian遠控可以在被入侵的電腦中記錄鍵盤、截屏、錄音或者通過攝像頭錄像，還可以安裝卸載程序，執行命令、使用動態插件，管理文件等。

螳螂捕蟬黃雀在後

如果你真的相信了上面說的這些功能，你就上當了。

這些論壇傳播的遠控制作器都有一個隱藏的遠控木馬模塊，它會安靜地連接一個Pastebin頁面，這個Pastebin充當了C&C伺服器。

這款工具的原作者可以隨時隨地對所有遠控發送指令，無論是那些黑客小白還是那些真正被感染的用戶都會被控制。

「很諷刺，那些二級用戶，就是那些用這款工具散播病毒的用戶們，自己被原作者耍了。」Zscaler安全研究部高級主管Deepen Desai在博文中寫道。

「原作者應該是使用了眾包模塊，用以建立超大的殭屍網路並且把那些二級用戶也囊括進來。」

Cobian原作者依賴那些黑客小白製作病毒並且散播，之後作者就可以通過後門獲得所有那些被入侵主機的全部許可權。他們還會通過修改C&C伺服器配置直接把那些黑客小白刪除，讓他們無法控制那些被入侵的主機，有點過河拆橋的意思。

最近觀察到的Cobian遠控案例是巴基斯坦的一個國防和電信解決方案公司網站被攻陷後被掛馬的。

警惕後門攻擊

前段時間，知名主機管理軟體Xshell也同樣曝出過後門，黑客入侵了相關開發人員的電腦，在源碼植入後門，導致NetSarang的官方版本受到影響。

植入後門的優點在於，這種攻擊手法更加方便，並且更加具有誘惑性。

*參考來源：THN，本文作者：Sphinx，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！