回归最本质的信息安全

;

对愈加流行的Qrypter RAT运作情况进行分析

2018年4月1日发布

43,861
0
0

导语:QRYPTER RAT 在2018年2月入侵全球243家机构,愈加流行。Forcepoint公司安全实验室对Qrypter RAT运作情况进行了详尽分析。

当谈及跨平台后门时,Adwind可以说是最受欢迎的远程访问工具(RAT)。然而,在过去的两年里,一个自称QUA R&D的地下组织一直在致力于开发和改进类似的Malware-as-a-Service(MaaS)平台,以至于他们现在已经成为Adwind的主要竞争对手。实际上,QUA R&D的RAT(以Qrypter之名出售)常常被安全社区误认为是Adwind。

简述

Qrypter是基于Java的RAT,它使用基于TOR的命令和控制(C2)服务器。它于2016年3月首次推出,有多个名称:Qarallax、Quaverse、QRAT和Qontroller。

2016年6月,该恶意软件被用于针对在瑞士申请美国签证的个人,从而导致该家族首次涉足安全行业。

如今,Qrypter继续崛起,通常通过恶意电子邮件(如下所示)进行传播。

虽然Qrypter通常用于较小的攻击,每次行动只发送几百封电子邮件,但它影响了全球许多组织。在2018年2月,我们追踪了三个与Qrypter有关的行动,共计影响了243个机场。下图显示了这些攻击行动中收件人顶级域名的细分情况:

分析

执行后,Qrypter在%Temp%文件夹中以随机文件名释放两个VBS文件并执行。这些脚本用于收集受害者PC上的所有防火墙和防病毒产品的详细信息:

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")Set colItems = oWMI.ExecQuery("Select * from FirewallProduct")For Each objItem in colItemsWith objItemWScript.Echo "{""FIREWALL"":""" & .displayName & """}"End With Next
ASCII Strings:=====================Set oWMI = GetObject("winmgmts: impersonationLevel=impersonate\\.\root\SecurityCenter2")Set colItems = oWMI.ExecQuery("Select from AntiVirusProduct")For Each objItem in colItemsWith objItemWScript.Echo """AV"":""" .displayName End With

然后它执行一个.REG文件,该文件也以随机文件名释放在%Temp%文件夹。它会降低系统的整体安全设置,并阻止执行取证和安全相关的进程。此外,通过运行Windows taskkill命令,相同的进程随后被恶意软件终止。

它自删除并创建以下注册表作为自启动机制:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run{random strings} "%AppData%\Oracle\bin\javaw.exe" -jar \"%USERPROFILE%\{random strings}\{random strings}.txt

最后,它连接到基于TOR的命令和控制服务器vvrhhhnaijyj6s2m .onion.top。作为后门插件,Qrypter能够执行以下后门功能,包括:

· 远程桌面连接

· 网络摄像头访问

· 文件系统操作

· 安装其他文件

· 任务管理器控制

商业模式

与Adwind类似,Qrypter月租80美元,可以用PerfectMoney,Bitcoin-Cash或Bitcoin支付。客户还可以支付三个月或一年的折扣价格订阅。据悉,收取Qrypter订阅付款的旧比特币地址总共收到1.69 BTC。撰写本文时,大约为16,500美元(尽管考虑到比特币的波动性,这种情况会迅速发生变化)。

 

值得注意的是,这只能揭示与QUA相关的一个加密货币地址的收入,所有钱包和货币的总收入可能会更高。

为向客户提供支持,QUA R&D开办了一个名为“黑与白”的论坛,讨论与Qrypter MaaS相关的任何事情。该论坛目前有2,325名注册会员:

该论坛的内容揭示了QUA R&D如何运作以及他们努力让客户满意所做的努力。例如,管理员定期创建线程来通知并向客户保证他们目前以5美元出售的加密服务完全未被反病毒供应商检测到(FUD)。如果客户不满意,可以退货:

事实上,确保他们的产品完全无法检测是该组织的主要优先事项之一,这就可以解释为什么即使经过近两年时间,Qrypter基本上仍未被反病毒供应商检测到。

虽然论坛主要针对Qrypter的客户,但它也可以吸引潜在的经销商。向经销商提供折扣代码(就像合法企业一样),这有助于提高Qrypter在地下圈子中的知名度:

相同的原因,老版本的RAT免费提供给客户。

有趣的是,破解竞争对手的产品似乎是QUA R&D策略的另一部分。下面的帖子显示管理员宣布他们已经破解了未知RAT。这大概是为了对其竞争生成其他类型的FUD(即“恐惧,不确定性和怀疑”)。

类似的帖子表明,即使在早期,QUA研发部门也认为JBifrost(Adwind的别名)是他们的主要竞争对手,并采取了类似的措施来摆脱潜在客户。

总结

本文强调了QUA R&D在跨平台MaaS业务中取代Adwind的决心。随着两年的运营和论坛中2K以上的注册用户,看起来他们在地下圈子中越来越受到关注。

虽然Qrypter MaaS价格相对便宜,但QUA R&D偶尔会发布破解竞争对手的产品,这可能会使任何人都可以免费获得有效的恶意软件,从而以指数级的速度增加野外攻击。然而,通过了解QUA R&D等网络犯罪企业如何运作,我们更有能力制定防御策略并预测其未来的发展。

IoC

Qrypter SHA-256

445a73d4dc4c76b73d35233b2bfba3ee178eb2605def1542c2267375db1ee24c

Qrypter C2s

vvrhhhnaijyj6s2m[.]onion[.]topbuzw55o32jgyznev[.]onion[.]to

本文翻译自:https://blogs.forcepoint.com/security-labs/look-qrypter-adwind’s-major-rival-cross-platform-maas-market如若转载,请注明原文地址: http://www.4hou.com/web/10902.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

TRex

这个人很懒,什么也没留下

发私信

发表评论