對愈加流行的Qrypter RAT運作情況進行分析

新聞 04-02

當談及跨平台後門時，Adwind可以說是最受歡迎的遠程訪問工具（RAT）。然而，在過去的兩年里，一個自稱QUA R＆D的地下組織一直在致力於開發和改進類似的Malware-as-a-Service（MaaS）平台，以至於他們現在已經成為Adwind的主要競爭對手。實際上，QUA R＆D的RAT（以Qrypter之名出售）常常被安全社區誤認為是Adwind。

簡述

Qrypter是基於Java的RAT，它使用基於TOR的命令和控制（C2）伺服器。它於2016年3月首次推出，有多個名稱：Qarallax、Quaverse、QRAT和Qontroller。

2016年6月，該惡意軟體被用於針對在瑞士申請美國簽證的個人，從而導致該家族首次涉足安全行業。

如今，Qrypter繼續崛起，通常通過惡意電子郵件（如下所示）進行傳播。

雖然Qrypter通常用於較小的攻擊，每次行動只發送幾百封電子郵件，但它影響了全球許多組織。在2018年2月，我們追蹤了三個與Qrypter有關的行動，共計影響了243個機場。下圖顯示了這些攻擊行動中收件人頂級域名的細分情況：

分析

執行後，Qrypter在％Temp％文件夾中以隨機文件名釋放兩個VBS文件並執行。這些腳本用於收集受害者PC上的所有防火牆和防病毒產品的詳細信息：

Set oWMI = GetObject("winmgmts:!\.
ootSecurityCenter2")Set colItems = oWMI.ExecQuery("Select * from FirewallProduct")For Each objItem in colItemsWith objItemWScript.Echo "{""FIREWALL"":""" & .displayName & """}"End With NextASCII Strings:=====================Set oWMI = GetObject("winmgmts: impersonationLevel=impersonate\.
ootSecurityCenter2")Set colItems = oWMI.ExecQuery("Select from AntiVirusProduct")For Each objItem in colItemsWith objItemWScript.Echo """AV"":""" .displayName End With

然後它執行一個.REG文件，該文件也以隨機文件名釋放在％Temp％文件夾。它會降低系統的整體安全設置，並阻止執行取證和安全相關的進程。此外，通過運行Windows taskkill命令，相同的進程隨後被惡意軟體終止。

它自刪除並創建以下註冊表作為自啟動機制：

HKCUSoftwareMicrosoftWindowsCurrentVersionRun "%AppData%Oracleinjavaw.exe" -jar "%USERPROFILE%\.txt

最後，它連接到基於TOR的命令和控制伺服器vvrhhhnaijyj6s2m .onion.top。作為後門插件，Qrypter能夠執行以下後門功能，包括：

·遠程桌面連接

·網路攝像頭訪問

·文件系統操作

·安裝其他文件

·任務管理器控制

商業模式

與Adwind類似，Qrypter月租80美元，可以用PerfectMoney，Bitcoin-Cash或Bitcoin支付。客戶還可以支付三個月或一年的折扣價格訂閱。據悉，收取Qrypter訂閱付款的舊比特幣地址總共收到1.69 BTC。撰寫本文時，大約為16,500美元（儘管考慮到比特幣的波動性，這種情況會迅速發生變化）。

值得注意的是，這隻能揭示與QUA相關的一個加密貨幣地址的收入，所有錢包和貨幣的總收入可能會更高。

為向客戶提供支持，QUA R＆D開辦了一個名為「黑與白」的論壇，討論與Qrypter MaaS相關的任何事情。該論壇目前有2,325名註冊會員：