RDFSNIFFER

一些黑客团体是国家赞助的,因此在针对政治和商业领域的各种活动中对其政府进行招标。其他黑客团体是自治的,通常倾向于完全出于经济动机。后者的一个例子是Carbanak集团(也称为FIN7),这是一群阴暗的人,多年来设法在全世界范围内造成严重破坏,并造成数亿美元的损失。恶意软件专家最近发现了Carbanak集团使用的一种新工具RDFSNIFFER。该黑客工具可以归类为RAT(远程访问木马),并且在BOOTSWIRE木马加载程序的帮助下似乎主要用作第二阶段有效负载,这是Carbanak集团军火库中的另一种工具。 针对运行NCR Aloha Commander工具集的计算机 RDFSNIFFER RAT与大多数此类威胁不同。该远程访问木马非常挑剔,因为它仅针对运行特定软件工具NCR Aloha Commander Toolset的计算机。支持部门的技术人员经常使用此应用程序。 RDFSNIFFER RAT将其代码植入合法的动态链接库的内存中,并将其过程保留在系统中可能存在的安全软件的监视之下。完成此操作后,RDFSNIFFER木马将通过接管NCR Aloha Command Center Client的关键功能和会话来继续进行攻击。这样,攻击者将能够控制应用程序。 其他能力 除了专门针对NCR Aloha Commander工具集之外,RDFSNIFFER RAT还具有其他一些特征。这种威胁可以在受感染的计算机上执行未经授权的命令。它还可以在主机上执行文件。 RDFSNIFFER RAT也可以篡改系统,以清除受感染计算机上存在的文件。 像Carbanak...

于October 20, 2019发表在Malware

端口重用

中国因其黑客团体而受欢迎。其中一些是按照自己的条件运作的,而其他一些则是由中国政府赞助的。 Winnti Group是中国最臭名昭著的黑客组织之一。它们也被称为APT41(高级持久威胁)。自2010年以来,它们就一直受到关注。Winnti Group以该APT开发的一种黑客工具Winnti恶意软件命名 。这种威胁使Winnti Group备受关注,并于2013年首次被发现。自从黑客组织由于Winnti恶意软件而获得一定的知名度以来,他们一直在开发新工具,其中之一就是PortReuse后门木马。 它偏爱隐身 大多数后门特洛伊木马程序都遵循相同的模式-它们是通过远程C&C(命令与控制)服务器进行操作的,并且往往具有很长的功能。但是,PortReuse木马不是这种情况。 Winnti集团似乎更喜欢隐身而不是功能。这就是为什么尽管如此,他们仍选择确保无法检测到威胁的原因,但这样做仍在破坏PortReuse后门特洛伊木马,这本来可能是更严重的威胁。 PortReuse木马的作者选择不使用C&C服务器来操作威胁,因为它可以被视为“太吵”。取而代之的是,他们利用局域网唤醒(也称为魔术包)来执行损坏的代码段。 默默经营 PortReuse木马操作员通过确保将其不安全活动留下的指纹最小化,将更多努力保持在较低水平。这是通过使用开放且活动的TCP端口来实现的。通过该端口,PortReuse木马会收到有问题的魔术网络数据包。看来作者在以下TCP端口上使用了不同的服务,例如53(DNS),80(HTTP),443(HTTPS),3389(RDP)和5985(WinRM)。 恶意软件研究人员通过解密用于构造Wake...

于October 20, 2019发表在Backdoors

加强写

有一些黑客团体严格地参与了激进运动,还有一些则服从于各种政府,还有一些纯粹的贪婪行为。后者就是中国黑客组织Carbanak Group(也称为FIN7)的情况。自从他们发起Carbanak Trojan以来,这个黑客组织就广为人知。这种威胁设法成为有史以来最臭名昭著的银行木马之一,并把名字命名为负责此事的黑客组织。众所周知,Carbanak集团主要针对餐饮,酒店和零售行业的公司。他们的大多数受害者似乎都位于美国。 Carbanak集团正在开发新工具,其中最近发现了其中两个工具。这些新的黑客工具很可能会在针对付款处理的活动中使用。 服务于种植其他恶意软件 前面提到的新工具之一称为BOOSTWRITE。这是高端木马加载程序。 BOOSTWRITE Trojan加载程序用于为更多恶意有效载荷铺平道路,这些有效载荷将被植入受感染的主机上。由BOOSTWRITE Trojan加载程序承载的有效负载已加密。为了解密有效负载,BOOSTWRITE木马加载程序需要与其操作员的C&C(命令与控制)服务器建立连接,并在初始化向量的旁边检索所需的解密密钥。 已知会部署两个其他威胁 恶意软件研究人员已经确定了两个第二阶段有效负载,它们已与BOOSTWRITE Trojan加载程序一起使用。其中之一是Carbanak Group的商标威胁,该公司因此而得名-Carbanak恶意软件。 BOOSTWRITE加载程序将部署的第二个威胁是由同一黑客组织RDFSNIFFER RAT(远程访问木马)开发的新黑客工具。该RAT非常不寻常,因为它仅在主机的系统上存在某些软件工具时才会触发攻击-NCR Aloha Command Center。 目前看来,BOOSTWRITE Trojan加载器仅携带这两个次要负载。但是,由于这是一个相当先进的Trojan装载程序,因此Carbanak Group可能会在以后的战役中继续使用它,并可能使用它来植入更具破坏性的威胁。如果您想摆脱BOOSTWRITE...

于October 20, 2019发表在Trojans

胶囊

考虑到那里的互联网访问受到多么严格的限制,人们会对来自朝鲜的许多备受瞩目的黑客攻击活动感到惊讶。过去,过去只有一个来自朝鲜的杰出黑客组织,那就是拉撒路组织。但是,最近出现了一个新星-ScarCruft黑客组织,也被称为APT37 (高级持久威胁)。 自我保存技术 ScarCruft黑客小组拥有不断扩大的黑客工具库。其中包括GELCAPSULE Trojan下载器。已确定此威胁能够识别它是否正在沙盒环境中运行。如果是这种情况,作为一种自我保护的方法,GELCAPSULE木马将停止其活动。该特洛伊木马下载程序也以其在反病毒解决方案范围内的能力而著称。恶意软件研究人员已经确定,正在使用GELCAPSULE Trojan下载程序来提供ScarCruft组工具中的另一种工具-SLOWDRIFT恶意软件。这场运动主要集中在韩国境内。 ScarCruft黑客组织的大多数目标往往是高级人员。 传播方式 GELCAPSULE木马的作者选择的传播方法是通过附加到虚假电子邮件的宏文件来进行。为了说服他们的目标下载并打开附件,ScarCruft黑客小组确保特别定制了被感染附件随附的消息。 已知会部署三个其他威胁 恶意软件研究人员研究了GELCAPSULE木马,并能够检测到这种威胁传递给受感染主机的其他恶意软件。特别是已经发现了三种黑客工具-KARAE,ZUMKONG和POORAIM。在剖析了这些威胁之后,网络安全专家便能够检测到它们服务于什么目的。 KARAE黑客工具是一个基本的Trojan后门,用于将其他恶意软件传送到受感染的系统。它还可以收集有关主机的信息,并将其虹吸回攻击者。 ZUMKONG被归类为信息窃取者,专门针对保存在流行的Web浏览器(例如Google Chrome和Internet Explorer)中的登录凭据。...

于October 20, 2019发表在Trojan Downloader

柏油碎石

针对OSX设备的恶意软件并不像运行Windows的计算机之后的恶意软件那样普遍。但是,这并不意味着不存在专门针对Apple计算机的威胁。大量的Mac所有者认为他们的设备是错误地不可渗透的,因为这是一种误解,使许多Apple用户感到头痛。网络安全研究人员发现了今年年初针对Mac计算机的全新威胁。与这种威胁有关的有害运动集中在美国,意大利和日本。这种新威胁的名称是Shlayer Trojan,它是第一阶段的有效负载。一段时间以来 ,恶意软件专家无法确定Shlayer Trojan恶意软件提供的辅助负载是什么。但是,在最近的一次操作中,发现Shalyer木马正与一种名为Tarmac的威胁一起使用。尽管设法发现并识别了Tarmac恶意软件,但专家指出,目前尚不清楚此威胁的确切目的是什么。 命令与控制服务器处于脱机状态 Tarmac威胁目标尚未确定的原因是,战役背后的基础设施处于脱机状态。通常,当恶意软件专家遇到新威胁时,他们会浪费时间并开始研究和剖析威胁,但对于Tarmac恶意软件,这是不可行的,因为攻击者的C&C(命令与控制)服务器处于脱机状态,因此不能达到。因此,Tarmac威胁无法与C&C服务器通信,因此,它无法从其操作员接收命令。此外,已确定Tarmac恶意软件的功能之一是收集有关主机的软件和硬件的数据,但是由于所收集的信息无法传输到攻击者的C&C服务器这一事实,这也变得不可能。 传播方式 Shlayer Trojan和Tarmac恶意软件的传播所涉及的分发方法是恶意的。负责这些活动的骗子试图诱骗用户单击伪造的Adobe更新或下载按钮,这些更新或下载按钮位于狡猾的网站上。遭受这种欺骗的用户将使Shlayer Trojan下载程序可以访问其系统,并且威胁将尝试在受感染的计算机上植入Tarmac恶意软件。 该活动背后的基础结构处于脱机状态,这不应使您认为这是无害的操作。...

于October 20, 2019发表在Malware

律师

Attor是针对目标移动设备量身定制的威胁,已经能够运行数年而没有被恶意软件研究人员发现。这种威胁可以归类为间谍软件工具,多年来,其运营商可能已经积累了大量的收集数据。最近发现了Attor间谍软件,因为其运营商开始针对与俄罗斯政府有联系的高级个人。 Attor间谍软件的活动似乎主要集中在东欧,而大多数目标都位于俄罗斯联邦。 可能会使用AT命令 Attor间谍软件是一个相当有趣的威胁。已经确定此黑客工具是模块化构建的。这使Attor恶意软件非常灵活。此外,此工具的设计使其几乎不留下任何不安全活动的痕迹,并且它也被认为是非常轻巧的。它具有一个组件,用于识别GSM指纹。该组件利用AT命令(也称为Hayes命令集)。这是一项相当古老的技术,可以追溯到1980年代。尽管Hayes命令集已经使用了三十多年了,但它至今仍被使用。 Attor间谍软件的作者很可能使用AT命令来欺骗安全检查,并且未被发现。该黑客工具允许其操作员收集有关受感染主机及其系统的各种信息,这些信息可能被用来使攻击更加有效。 律师间谍软件功能 Attor间谍软件的功能令人印象深刻。律师威胁可以: 通过设备上的麦克风录制音频。 识别正在运行的应用程序和进程。 拍摄用户屏幕的屏幕截图。 收集有关受感染设备的有关硬件和软件的数据。 Attor恶意软件的创建者似乎专注于从受害者的浏览器收集数据。威胁的作者VPN应用程序,电子邮件应用程序和True Crypt也似乎有几个特别有趣的应用程序。 在单独的Tor隐藏服务上托管组件 为避免恶意软件研究人员的窥视,Attor间谍软件的作者已确保将其创建的组件托管在单独的Tor隐藏服务上。这种方法使网络安全专家很难研究Attor恶意软件,因为他们需要定位所有单独的组件来监视威胁活动。...

于October 20, 2019发表在Spyware

珊瑚泥

众所周知,朝鲜政府使用黑客服务。最近,除了著名的Lazarus黑客组织之外,还出现了一个新演员,即ScarCruft APT(高级持久威胁)。该黑客组织也通常称为APT37。他们似乎主要针对高级韩国人。但是,恶意软件研究人员在中东以及越南和日本发现了APT31活动。 ScarCruft黑客组织可能已于2015年开始运营。 隐身偏好 ScarCruft集团倾向于在运营中特别注意隐身性。 APT37操作的另一个签名组件是从主机收集重要信息。黑客组织用来收集数据的主要工具之一是CORALDECK恶意软件。涉及CORALDECK工具的首个活动于2016年前几个月启动,并设法将其最高活动水平维持了四个多月。 针对特定的文件类型和文件名 CORALDECK威胁可以归类为信息窃取者。这个信息窃取者并不是一个非常复杂的威胁,ScarCruft黑客组织倾向于与其他黑客工具一起使用它,以实现最高效率。 CORALDECK信息窃取程序经过专门设计,可以查找不同的文件类型或具有特定名称的文件。这是一种完全不同的方法,因为大多数信息窃取工具的目标都是敏感信息,例如信用卡详细信息和登录凭据。 APT37小组使用的方法使恶意软件研究人员认为,攻击者可以浏览系统中的文件,选择他们想要获取的文件,然后使用CORALDECK工具获取目标数据。 存档收集的数据 在攻击期间,会向攻击者的服务器发出HTTP POST请求,这使CORALDECK信息窃取者可以使用硬编码提取技术来收集感兴趣的信息。一旦威胁设法检索到目标数据,它将被保存在.RAR或.ZIP存档文件中,该文件由密码保护。 CORALDECK还带有WinRAR存档软件的便携式可执行文件。 ScarCruft APT无疑是庞大的黑客工具库,他们针对高知名度人物的竞选活动无疑也使它成为现实。...

于October 20, 2019发表在Trojans

狗窝

ScarCruft黑客组织是来自朝鲜的一个新兴的,备受关注的演员。这组人也称为APT37(高级持续威胁)。网络安全研究人员认为,ScarCruft小组很可能直接由北朝鲜政府资助,并被用作针对外国政府和官员的武器。 APT37的大多数目标似乎是在韩国担任重要职务或权力的人。 ScarCruft黑客组织的黑客工具列表很长,其中包括DOGCALL后门特洛伊木马。 2016年8月,首次使用了DOGCALL木马。 针对韩国的军事和政府机构 2017年,APT37启动了针对韩国政府机构和军事机构的行动。 DOGCALL后门特洛伊木马是此臭名昭著的战役中使用的工具之一。攻击者使用的传播方法是垃圾邮件,其中包含附加的虚假Microsoft Office文档。一旦混淆的shellcode段对其解密,DOGCALL Trojan的有效负载将立即执行。 能力 ScarCruft黑客组织以隐身优先于蛮力而闻名。该DOGCALL木马不会从这个首选方法流浪APT37是指渗透到主机和向下低,允许攻击者有超过默默长时间进入系统操作。 DOGCALL后门木马具有以下功能: 执行键盘记录模块。 拍摄打开的选项卡和受害者的桌面的屏幕快照。 执行远程命令。 DOGCALL木马能够检测它是否正在恶意软件调试环境中运行,这使恶意软件研究人员的工作更加困难,但并非不可能。众所周知,APT37与RUHAPPY刮水器DOGCALL木马结合使用了另一种黑客工具。 有一阵子,唯一一个从朝鲜冰雹而来的黑客组织是拉撒路。但是,ScarCruft...

于October 20, 2019发表在Malware

导航仪

APT37(高级持续威胁)是一个已经存在了一段时间的黑客组织,据信它与朝鲜政府合作(尽管尚未完全确定这一信息)。 APT37小组的大多数目标都集中在韩国,十个目标相当引人注目。最近,APT37使用鱼叉式网络钓鱼电子邮件来传播称为NavRAT(远程访问木马)的威胁。恶意软件研究人员认为,攻击者使用的传送方法相当有趣。有趣的是,涉及NavRAT的战役中使用的基础设施也不是很传统。 通过鱼叉式网络钓鱼电子邮件进行传播 上述鱼叉式网络钓鱼电子邮件将包含受感染的附件,其格式为“ .HWP”。该损坏的文件名为“美朝朝鲜峰会的前景”。符合文档结构约定(DSC)的PostScript文档,在这种情况下,封装的PostScript(EPS)布局打包了混淆的shellcode,只有在满足所有要求时才运行。一旦威胁加剧并开始运行,它将确保连接到其操作员的服务器(位于韩国),并获取攻击者想要植入主机的主要恶意软件。 ,NavRAT。 获得持久性并安静地操作 NavRAT木马会将其文件插入“%PROGRAMDATA%\ AhnLab”文件夹。有问题的数据存储在名为“ GoogleUpdate.exe”的文件中。值得注意的是,由于APT37的目标位于韩国,因此攻击者选择使用AhnLab这个名称,因为该名称通常与该地区一家颇受欢迎的网络安全公司相关。当NavRAT成功渗透到主机时,它还将确保它在受感染的系统上获得持久性。这是通过生成注册表项来完成的,该注册表项旨在指示Windows在重新引导系统时运行NavRAT Trojan。为最大程度地减少发现威胁的机会,APT37已使用合法的运行进程作为其损坏代码的主机。 NavRAT具有大多数远程访问特洛伊木马的功能: 执行远程命令。 收集击键。 下载并执行文件。 上传并执行文件。 NavRAT木马通过电子邮件与其操作员进行通信 但是,NavRAT不是通过威胁与远程C&C(命令与控制)服务器之间的常规通信方法,而是通过电子邮件附件与其操作员进行通信。...

于October 20, 2019发表在Remote Administration Tools

希达德

Hiddad是一款基于Android的广告软件。 Hiddad广告软件的大部分活动都集中在俄罗斯,超过40%的受害者位于俄罗斯。但是,在美国,印度,德国,乌克兰,印度尼西亚等国家也有感染的报道。 Hiddad广告软件的创建者采用了各种社交工程技术来实现其最终目标,即说服用户点击他们的广告。这听起来似乎没什么大不了的,但是Hiddad的作者如果设法将自己的创作植入足够的主机设备,则可以赚取可观的收入。 通过虚假应用传播 该广告软件似乎已托管在官方的Google Play Stor上,冒充了几个假冒的应用程序“ Snap Tube”,“ Music Mania”和“ Tube Mate”。值得庆幸的是,Google Play商店的开发人员已经使用了这些欺诈性应用程序,并已将其从平台中删除。这些虚假的应用程序声称提供了一些很棒的功能,例如免费的音乐流服务,甚至从YouTube视频中删除了烦人的广告。但是,如果用户安装这些伪造的应用程序之一,则会要求他们提供一长串权限,而这不是这种合法应用程序所能做的。然后,该应用程序将以假名“ plugin android”安装第三方软件,这要求用户向其授予管理员特权。将这些特权赋予该应用程序将使其从设备上删除变得更加困难,因为它可能会将其文件注入系统文件夹中。 Google Play商店删除了恶意应用程序 尽管Google Play商店删除了与Hiddad广告软件相关的应用程序,但其创建者很有可能通过尚未被发现的其他应用程序进行传播。更糟糕的是,在获得持久性之后,该应用程序将向用户显示提示,要求他们给该应用程序五星级评级。最糟糕的是,除非您在Google Play商店中给予应用程序五星评价并对其评分,否则无法关闭此提示。这是一项非常激进的技术,从Google Play商店中与Hiddad相关的应用程序的评级来看,很多人被迫给予五星级评级。...

于October 20, 2019发表在Adware

Android包包

AndroidBauts僵尸网络是一个受感染的Android设备网络,用于将广告宣传给在线用户。某一时刻,受感染设备的数量超过了55万。 AndroidBauts僵尸网络的创建者能够收集有关受感染设备(包括软件和硬件)的数据。大多数受感染的设备似乎位于印度和印度尼西亚。但是,在俄罗斯,阿根廷,越南,马来西亚和其他国家/地区也可以找到大量属于AndroidBauts僵尸网络的受感染Android设备。 通过虚假应用程序传播 AndroidBauts僵尸网络的运营商很可能通过在官方的Google Play商店中托管假冒应用程序来感染了如此庞大的设备。用户从Google Play商店下载应用程序时,往往会不太谨慎,因为他们相信开发人员不会在其平台上允许任何潜在的不安全应用程序,但并非总是如此。自从检测到AndroidBauts僵尸网络的活动以来,Google Play商店已删除了与该广告软件相关的所有应用程序。但是,尽管付出了很多努力,但全球仍有数千种Android设备仍受到威胁的威胁。 AndroidBauts的其他功能 除了向用户发送广告垃圾邮件之外,AndroidBauts广告软件还可以用作信息收集工具。该广告软件可以收集: Android版本。 有关用户的管理员特权的信息。 设备的唯一硬件地址(MAC)。 有关处理器型号,频率,内核数和制造商的信息。 如果用户安装了两个SIM卡,则电话号码为1和2。 手机存储空间的大小以及存储卡的可用性和大小。 IMSI,IMSI2,IMEI和IMEI2。 AndroidBauts广告软件的操作员可以在受感染的主机上执行远程命令。广告软件收集的信息被传输到其操作员的服务器。借助于发送到AndroidBauts运营商的设备数据,他们可以查看设备当前是否在线,检查广告的状态,发送新的广告请求或更新关于设备的信息(如果有任何新输入)。...

于October 20, 2019发表在Malware

Lotoor

Lotoor是专门针对Android设备的威胁。 Lotoor恶意软件的大多数活动似乎都位于俄罗斯联邦,超过32%的受感染设备集中在该地区。但是,该恶意软件家族在美国,巴西,印度,德国,越南和其他国家似乎也很活跃。 Lotoor的能力 Lotoor恶意软件的方法是悄悄地潜入目标的Android设备,并寻找可能存在的各种利用。然后,如果检测到任何威胁,则Lotoor威胁将尝试使用它来获取管理员特权。如果尝试成功,则Lotoor恶意软件将能够由其操作员接收并执行远程命令。这意味着Lotoor作者可以: 收集敏感数据。 禁用系统上可能存在的所有安全措施。 向受感染的主机提供其他威胁。 管理系统上的数据。 管理安装程序应用程序。 更改设备上的设置。...

于October 20, 2019发表在Malware

Jsecoin

Jsecoin是用于通过Web浏览器挖掘加密货币的服务。这是通过将用JavaScript编写的代码注入目标网站来实现的。并非所有利用此服务的网页都是不正确的,有时真正的网站会使用此功能,但不同之处在于合法的页面永远不会通知用户其系统将被用来开采加密货币。但是,存在恶意网站,这些网站不会向用户显示任何通知。对于正在开采的加密货币,是门罗币。注入Jsecoin的网站的访问者将拥有大量的处理能力,这些资源将自动用于挖掘Monero。通常,此类不透明的Web页面将确保在不考虑用户及其系统的情况下,尽可能多地消耗处理能力。这种活动通常会导致性能问题,因为其他正在运行的进程可能没有足够的处理能力以达到预期的效率。 与CoinHive Cryptojacker具有相似之处 Jsecoin矿工不是开创性的活动。实际上,这个矿工与另一个矿工非常相似,后者在2018年因CoinHive Cryptojacking而广受欢迎 。 CoinHive...

于October 20, 2019发表在Malware

APT37

APT37(高级持续威胁)是一个很可能来自朝鲜的黑客组织。专家推测,APT37可能直接由朝鲜政府资助。该黑客组织也称为ScarCruft。直到2017年,APT37几乎将所有精力集中在位于韩国的目标上。但是,在2017年,黑客组织开始扩大影响范围,并开始在日本和越南等东亚其他州发起活动。 APT37的目标也位于中东。黑客组织还与其他思想不端的演员合作。 APT37旨在促进朝鲜的利益,因此其目标往往引人注目。黑客组织倾向于针对与汽车制造,化学生产,航空航天等相关的行业。 传播方式 网络安全专家一直在观察APT37的活动,并概述了几种传播方法,这些方法通常被实施: 通过洪流网站传播恶意软件。 启动鱼叉式网络钓鱼电子邮件活动。 使用各种社交工程技术来诱骗用户下载并执行损坏的文件。 渗透服务和网站以劫持它们并使用它们传播恶意软件。 APT37的工具库 APT37是一个黑客组织,拥有各种工具. APT37使用的最受欢迎的黑客工具包括: NavRAT,一种RAT或远程访问木马,其中包含许多功能。 CORALDECK,一种用于从受感染主机中收集文件的威胁。 Karae是一种后门特洛伊木马,它收集有关主机系统的数据,并使攻击者能够确定如何进行攻击。 DOGCALL,一种后门特洛伊木马,由于其功能而类似于RAT。 ROKRAT ,一种可以记录音频,劫持登录凭证,执行远程命令等的RAT。 ScarCruft Bluetooth Harvester,基于Android的威胁,用于从受感染设备中收集信息。 GELCAPSULE,一种木马,用于在受感染的系统上植入其他恶意软件。 MILKDRO,一个后门,它可以篡改Windows注册表来获得持久性并且非常安静地运行。 SHUTTERSPEED,一种后门特洛伊木马,可以获取屏幕快照,虹吸有关主机软件和硬件的信息,并在系统上部署其他恶意软件。...

于October 20, 2019发表在Malware

康普芬

COMpfun是一种RAT(远程访问木马),属于Turla黑客组织,于2014年左右首次被发现。TurlaAPT(高级持久威胁)被认为是一群可能由克里姆林宫赞助的俄罗斯人(但此信息有待确认)。 Turla黑客组织倾向于针对位于俄罗斯和白俄罗斯的知名个人/组织。该Turla APT具有的黑客工具一个令人印象深刻的阿森纳,如果你比较COMpfun RAT到另一个他们的威胁时, 减速机木马,你会看到,后者是更为危险和复杂。但是,COMpfun RAT也无法估算,因为它仍然可以使攻击者劫持系统并获得对其的完全控制。 能力 COMpfun RAT的一些功能包括: 捕获桌面的屏幕截图和受感染系统的选项卡。 上载文件。 正在下载文件。 执行文件。 管理文件。 运行一个键盘记录器,该键盘记录器被编程为在特定时间段内将收集的数据发送给攻击者。 执行PowerShell脚本。 执行远程命令。 正如我们所提到的,COMpfun RAT最早于2014年被发现,当时,由于采用了COM劫持(组件对象模块),这种威胁是相当新颖的。借助此功能,COMpfun RAT可以将自身注入系统中运行的合法进程中,从而始终处于反恶意软件工具的监视之下。 尽管COMpfun RAT在今年有些过时,但可以肯定地说它仍然在网上流通并声称是受害者。但是,自2014年以来,防病毒应用程序有了长足的发展,任何知名的安全解决方案都将能够检测并清除系统中的COMpfun...

于October 20, 2019发表在Remote Administration Tools