Windows 恶意软件在个人电脑上打开RDP端口,以便未来远程访问
安全研究人员表示,他们发现了一个新版本的Sarwent恶意软件,该软件会在受感染的计算机上打开RDP(远程桌面协议)端口,这样黑客就可以上手访问受感染的主机。来自SentinelOne的研究人员发现了这个新版本,他们认为Sarwent的操作者很可能是准备在网络犯罪黑社会上出售这些系统的访问权限,这是一种常用的RDP主机赚钱的方法。
Sarwent恶意软件
Sarwent恶意软件是一个不太知名的后门木马,自2018年以来一直存在。在其之前的版本中,该恶意软件包含了一套有限的功能,例如具有在被攻击的计算机上下载和安装其他恶意软件的能力。
但在最近几周发现的一次活动中,SentinelOne恶意软件分析师Jason Reaves表示,Sarwent收到了两个关键更新。
第一个是通过Windows命令提示符和PowerShell实用程序执行自定义CLI命令的能力。
不过,虽然这个新功能本身就相当具有侵入性,但研究人员表示,Sarwent还在这次最新的更新中获得了另一个新功能。
Reaves表示,Sarwent现在会在每个受感染的主机上注册一个新的Windows用户账户,启用RDP服务,然后修改Windows防火墙,允许外部RDP访问受感染主机。
https://s1.ax1x.com/2020/05/23/Yv4DYR.jpg
这意味着,Sarwent操作者可以使用他们创建的新Windows用户访问受感染的主机,而不会被本地防火墙阻止。
在今天的采访中,Reaves告诉ZDNet,这个新的Sarwent版本的发行量暂时是有限的。
"我只见过这种新版本只作为其他恶意软件的二次感染下载 -- 以Predator the Thief为例。"Reaves告诉ZDNet。
由于目前的分发方案,清理Sarwent感染是 "有点复杂,"研究人员补充道。
这包括删除安装Sarwent的原始恶意软件,删除新的Windows用户,然后关闭Windows防火墙中的RDP访问端口。
RDP访问是为了什么?
目前,Sarwent在所有受感染的主机上获得的RDP访问权限是什么,仍然是个谜。
"通常情况下,恶意软件在犯罪软件领域的发展是由对某种东西的货币化欲望,或者客户对功能的需求决定的。"Reaves告诉ZDNet。
有几种理论存在。Sarwent团伙可能自己使用RDP访问权限(窃取专有数据或安装勒索软件),他们可能将RDP访问权限租给其他网络犯罪或勒索软件团伙,也可能将RDP端点列在所谓的 "RDP商店 "上,就像下面列出的那个。
https://s1.ax1x.com/2020/05/23/Yv4kFA.png
SentinelOne的Sarwent报告中包含了新的Sarwent恶意软件版本的破坏指标(IOCs)。安全团队可以使用这些IOCs来搜索其计算机队伍中的Sarwent感染者。
页:
[1]