为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

远控木马Orcus RAT用“合法经营”的旗号黑客论坛散播

2016-7-7 18:17| 投稿: lofor

摘要: MalwareHunterTeam的安全研究人员在多个恶意软件样本中发现Orcus。Orcus是一个远程管理工具(RAT)。这些恶意文件被用来感染使用RAT客户端版本的用户。Orcus RAT打着“合法经营”的旗号Orcus在网站首页刊登广告称自 ...

MalwareHunterTeam的安全研究人员在多个恶意软件样本中发现Orcus Orcus是一个远程管理工具(RAT)。这些恶意文件被用来感染使用RAT客户端版本的用户。

Orcus RAT打着“合法经营”的旗号

Orcus在网站首页刊登广告称自己是一款远程管理工具,与TeamViewer和其它应用程序类似。

不幸的是,Orcus却不像其它类似应用程序般“干净”,因为Orcus公然发布非法功能,比如“恢复”知名应用程序的浏览cookies和密码,发起服务器压力测试(DDoS攻击),记录麦克风输入,伪造文件扩展名、日志按键等等。

许多这些功能作为Orcus包的插件使用,售价40美元,付款方式为比特币或PayPal账号。

根据官网内容,Orcus RAT由Orcus技术公司(Orcus Technologies)管理。Orcus RAT网站未包含有关Orcus Technologies的注册号或其它任何类型的官方详细信息。

官网称,“Orcus Technologies注册在加拿大安大略省,是Sorzus和Armada的杰作。产品主要关注网络并以可靠的技术模式轻易获取网络资源”。

即使Orcus团队有GitHub页面和官网,但Orcus RAT的开发者Sorzus 和 Armada仍在HackForums.net上推广Orcus RAT。HackForums.net是一个发现、购买并销售黑客工具、漏洞利用和恶意软件的知名论坛。

将所有证据考虑在内就会发现,这两人间接揭露了Orcus软件的目标群体,几乎承认了“远程管理工具”其实就是“远程管理木马”。

Orcus RAT –技术细节

据Sorzus所说,Orcus是只感染Windows计算机的RAT,并采用三元基础设施模式。Orcus具有管理面板、Orcus机器人程序(bot)以及中介服务器。

被感染的bot以及Orcus管理员使用中介服务器作为代理交换命令和传递被窃信息。Orcus买家使用GUI或命令行客户端与客户端交互。

功能与Blackshades RAT的“station”功能类似。也许Sorzus和Sorzus应该向Blackshades的开发人员Michael Hogue和 Alex Yucel吸取教训,Hogue虽免了牢狱之灾,但Yucel难逃长达57个月的监禁。

Sorzus补充道,“其它RAT [sic]没有另外的服务器。客户端直接连接到管理。Orcus使用的方法具有很多优点:你可以在VPS上承载服务器并管理Windows系统的客户端,多个管理可以连接,因此你能一起管理客户端—它们是同步的。”

Sorzus还表示,Orcus完全通过WPF【Windows Presentation Foundation】用Visual C#编写。

为了让Orcus管理员管理“客户端”,Orcus还提供了一个安卓应用程序。自6月4日以来,这个应用程序可在Google Play Store下载,截至目前,安装量为50-100。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

发表评论

最新评论

引用 qinmiaozn 2016-7-8 01:15
看看谢谢了!

查看全部评论(1)

最新

返回顶部