地下黑客論壇免費遠控木馬被曝「後門」

E安全9月2日訊 黑客可在地下黑客論壇免費下載的遠程訪問木馬「Cobian RAT」中包含秘密後門，原木馬開發人員可藉此訪問所有受害者的數據。

網路安全公司Zscaler高級研究總監迪班·德賽表示，Cobian RAT自2017年2月在地下黑客論壇供其它黑客免費下載，原開發人員提供的「免費的生成器」可讓其它黑客創建自定義Cobian RAT。

Zscaler分析這款生成器後發現一個有趣的功能：原開發人員在生成器工具中注入了從Pastebin URL（由原開發人員控制）獲取C&C伺服器信息的後門模塊，這樣一來，原開發人員可以控制被Payload（使用這個後門生成器生成的Payload）感染的系統。

Cobian RAT眾包模式？

從上圖可以看出，原開發人員依賴二級操作人員創建這款RAT的 Payload並傳播感染。之後藉助後門模塊完全控制所有被Cobian RAT殭屍網路感染的系統，原開發人員還能修改二級操作人員配置的C&C伺服器信息。

黑客獲取這個生成器，創建自定義Cobian RAT，並散布Payload，以此感染其它用戶。

免費下載這款RAT的黑客並不知道，自定義Cobian RAT會秘密連接到原開發人員控制的Pastebin URL，而下載的黑客通過該URL接收新命令。

德賽表示，與Cobian RAT變種對應的Pastebin文件有4055個唯一訪客點擊量，這說明和部分系統已被感染。

這些系統被「兩名」黑客訪問：

• 傳播自定義Cobian RAT的黑客

• Cobian RAT原開發人員

Cobian RAT存在漏洞

Cobian並未超越過去那些免費的RAT，因為對於菜鳥級黑客而言，並不是所有功能都奏效。

德賽指出，研究人員測試鍵盤記錄模塊後發現漏洞百出。因為當用戶打字速度稍快時，該模塊就無法準確捕獲擊鍵。這可能是這款RAT受歡迎程度不太高的原因。儘管Cobian半年以前就提供免費下載，但截止目前研究人員極少發現Cobian被大肆利用的情況。

德賽稱，目前從未發現任何一起大規模攻擊活動涉及Cobian RAT，但他們發現攻擊分子通過被黑網站散布該RAT的少數孤立事件。儘管如此，拋開後門和鍵盤記錄的劣勢組件不談，Cobian仍不比其它競爭RAT遜色多少。

德賽指出，Cobian RAT包含免費/付費RAT中的所有基本功能，包括：

鍵盤記錄、截屏、網路攝像頭、錄音、文件瀏覽器、遠程命令殼、動態插件、安裝/卸載。

Cobian RAT中存在的後門還是抹殺了它未來的發展。後門被曝光之後，黑客可能不再願意冒險下載這款工具。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！