跨平台隱藏很深的惡意軟體CrossRAT

如果有Linux或Mac OS的用戶，覺得自己使用的操作非常安全，沒有病毒危險，現在可能會有所改變了。最新發現的跨平台間諜惡意軟體CrossRAT可以感染多個操作系統平台，隱藏性還非常高。

上周的報道中提到了一個新的高持續性威脅組織（APT），名為Dark Caracal，正在全球發起一個手機間諜軟體攻勢。其中就提到一個跨平台的惡意軟體CrossRAT (version 0.1)，它是一個遠程控制的木馬程序，可以感染目前世界上所有的操作系統，包括 Windows, Solaris, Linux, MacOS。黑客可以遠程修改電腦中的文件系統、屏幕截圖、運行可執行文件等操作。

根據目前的發現，該組織的黑客沒有利用已知的零日漏洞來傳播該惡意軟體，而是通過最基礎的社會工程方法，在社交網站和網路聊天工具中發送鏈接，誘使用戶打開假冒網站下載惡意程序。CrossRAT使用Java語言編寫，可以讓工程師和研究人員反編譯它。

截至發稿，在58個殺毒軟體中，只有2個能識別出CrossRAT惡意軟體，前NSA黑客Patrick Wardle準備對它的代碼進行分析後對它的運行機制進行了說明。一旦在目標主機上運行後，hmar6.jar文件首先對主機的操作系統進行判定，然後根據操作系統執行相應的程序，在安裝的同時還會手機主機的操作系統版本、內核版本和架構。對於不同的Linux系統來說，它還會分析不同版本的系統文件差異來判定是什麼版本的Linux。對Mac OS系統來說，它會在每次系統重啟後重新連接到遠程的指令命令伺服器，然後可以發送相關命令和數據。

根據Lookout機構的研究人員發現，Dark Caracal通過2223埠的flexberry.com網站來傳播CrossRAT惡意程序，核心信息在crossrat/k.class文件內，無法進行修改。

CrossRAT內包括了一些基本的監視工具，只需要遠程伺服器發出相關指令就可以啟動其中的監視功能。 Patrick還發現在CrossRAT程序中雖然使用了開源Java庫jnativehook，可以用來記錄鍵盤和滑鼠的行為軌跡，但是在CrossRAT內部沒有預置的啟動鍵盤記錄器的命令。這意味著CrossRAT以後很有可能會更新，增加更多的功能。

如何在系統中查看是否中了CrossRAT？

Windows系統：檢查 "HKCUSoftwareMicrosoftWindowsCurrentVersionRun" 鍵值，如果發現其中包含 java、-jar、mediamgrs.jar說明已經感染了。

MacOS系統：檢查~/Library中是否含有jar file、mediamgrs.jar文件，在 /Library/LaunchAgents或~/Library/LaunchAgents中查找是否有名為mediamgrs.plist的啟動項。

Linux系統：在/usr/var中查找是否含有jar file、mediamgrs.jar，在~/.config/autostart查找名為mediamgrs.desktop的自啟動文件。

如何免受 CrossRAT攻擊？由於CrossRAT使用Java編寫，因此需要主機上預先安裝Java，而最新版的Mac OS不會預裝Java，這樣可以有效減少被感染的機率。因此最好的方法就是不管是什麼操作系統的主機上，不要安裝Java。

更多有趣的科技文章，歡迎關注我們：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！