遠控軟體NetSupport Manager已遭黑客濫用於開展網路間諜活動

「用指尖改變世界」

NetSupport Manager是一款以Windows為中心的跨平台遠程控制軟體，允許用戶將運行Windows、Mac、Linux和Solaris操作系統的設備（或者運行iOS 和 Android操作系統的移動設備）作為單個控制台，同時對其他多台設備（可以是運行不同操作系統的設備）進行遠程屏幕控制和系統管理。

根據NetSupport的官方宣傳資料，在經過25年的發展之後，NetSupport Manager已在全球範圍內被廣泛採用，目前有超過1200萬台計算機、伺服器以及移動設備安裝有該軟體的不同版本。

網路安全公司FireEye在上周四（4月5）發表的博文中表示，他們在過去的幾個月里一直在追蹤調查一起通過受感染網站來傳播虛假軟體更新程序的惡意活動。

在調查的過程中，他們發現這些虛假軟體更新程序分發的最終有效載荷居然就是NetSupport Manager。這意味著這款合法且早已商業化的遠程控制軟體已經遭到了黑客的濫用，而攻擊者目的顯然是為開展進一步的網路間諜活動。

FireEye表示，攻擊者利用了受感染的網站來傳播偽裝成Adobe Flash、Chrome和FireFox更新的虛假更新程序。當受害者訪問受感染的網站時，一個惡意JavaScript腳本文件會自動下載，大部分來自DropBox。這是一個雲存儲（網盤）網站，可供用戶存儲和分享本地文件。

這個腳本文件會收集基本的系統信息並將其發送到命令和控制伺服器（CnC）伺服器，並從伺服器接收額外的命令，然後在wscript.exe（一種批次語言/自動執行工具）的幫助下從％AppData％執行另一個JavaScript腳本文件（命名為Update.js）以下載最終的有效載荷。

FireEye解釋說，惡意軟體的開發者對第一個腳本文件應用了多層模糊處理，並採用了一種棘手的方法來試圖使逆向工程師對第二個腳本文件的分析變得更加困難。這種方法涉及到通過使用調用者函數和被調用者函數代碼獲取解密密鑰，惡意軟體的開發者可以確保一旦分析人員添加或刪除任何內容，腳本將不會檢索密鑰，並會以異常終止。

在第一個腳本文件執行後，它會與CnC伺服器進行連接，以編碼格式發送系統的tid值和當前日期，並等待來自伺服器的響應。在接受到響應後，腳本文件將作為名為「step2」 的函數執行。

這個函數的功能在於收集各種系統信息並以編碼格式發送給CnC伺服器，這些信息包括：體系結構、計算機名稱、用戶名、處理器、操作系統，域、製造商、型號、BIOS版本、反間諜軟體產品、防病毒產品、MAC地址、鍵盤、指點設備、顯示控制器配置和進程列表。

在接收到這些信息之後，CnC伺服器會以兩部分內容進行響應：content2和content3，而此時作為step2函數的第一個腳本文件會對這兩部分內容進行解碼。

名為「step3」的函數將在解碼後的content3中的得到，這個函數在執行後將寫入Update.js（即第二個腳本文件），它包含有用於下載和執行最終有效載荷的代碼。

FireEye表示，這段代碼接下來會利用PowerShell命令從CnC伺服器下載多個文件，其中包括一個名為「7za.exe」的可執行文件，一個名為「Loglist.rtf」多信息文本文件（經FireEye證實，它實際上是一個受密碼保護的壓縮文件，其中包含有NetSupport Manager）、一個名為「Upd.cmd」的批處理腳本和一個名為「Downloads.txt」的文本文件。

其中，批處理腳本Upd.cmd被設計用於名為「7za.exe」的可執行文件，禁用Windows錯誤報告和應用程序兼容性，將遠程控制客戶端可執行文件添加到防火牆的允許程序列表中，添加運行註冊表項或將快捷方式文件下載到啟動文件夾以實現持久性，使用屬性隱藏文件，刪除自身不再需要的文件，並執行NetSupport Manager。在分析過程中，FireEye表還發現該腳本能夠定期對NetSupport Manager進行更新。

在NetSupport Manager的幫助下，攻擊者可以遠程訪問受感染系統、傳輸文件、啟動應用程序、獲取系統地理位置以及遠程檢索文件和系統信息。

值得注意的是，名為「Downloads.txt」的文本文件包含了一份IP地址列表。FireEye認為，這可能是已經受到感染的設備列表。從這些IP地址來看，它們分屬於不同的國家和地區，但主要位於美國、德國和荷蘭。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！