木馬通殺 Windows、MacOS、Linux，過大部分殺軟

通常來講，Linux和Mac OS操作系統被認為具有更高的安全性。但如果你認為它們就不容易受到計算機病毒的攻擊，那麼你可能需要仔細閱讀下文。

越開越多的網路犯罪分子正在開始使用一種新的「無法檢測」的惡意軟體，其目標包括運行Windows、macOS、Solaris和Linux系統的設備。

這個新型的跨平台惡意軟體名為「CrossRAT」，是一種遠程訪問木馬程序，針對當前四種流行的計算機操作系統，使得攻擊者能夠遠程操縱計算機系統、屏幕截圖以及運行任意可執行文件。

據研究人員介紹，CrossRAT是由發起網路間諜活動「Dark Caracal」背後的APT組織開發的。該組織在傳播CrossRAT時，並不依靠任何零日漏洞;相反，他們選擇了最為基本的社會工程。

具體來講，該組織通過利用Facebook群組和WhatsApp消息上的帖子來誘導受害者訪問由黑客控制的虛假網站，由此下載用於傳播CrossRAT的惡意應用程序。

另外，由於CrossRAT是採用Java編程語言編寫的，這使得研究人員能夠很容易對其進行反編譯。

根據VirusTotal(一個提供免費的可疑文件分析服務的網站)的掃描結果，在目前流行的58款防病毒軟體中，只有兩款可以檢測到CrossRAT。

中國地區同樣有不少用戶已被感染

雖然黑暗獰貓間諜網路主要攻擊目標在中東和歐洲，不過東南亞地區例如中國同樣有不少用戶已經遭到感染。

被感染的主要包括Android移動設備和Windows電腦，用戶如果安裝殺毒軟體應該在更新病毒庫後即可查殺。

美國國家安全局(NSA)前僱員Patrick Wardle對CrossRAT進行了深入分析，並提供了一份全面的技術概述，包括其持久性機制、命令和控制通信以及它的能力。

CrossRAT 0.1 - 跨平台持續監控惡意軟體

一旦在目標系統上執行，植入物(hmar6.jar)首先檢查正在運行的操作系統，然後針對性地安裝對應的程序。

除此之外，hmar6.jar還會嘗試收集有關受感染系統的信息，包括已安裝的操作系統版本、內核版本和體系結構。

對於Linux系統，CrossRAT會嘗試查詢systemd服務文件以確定操作系統版本，如Arch Linux、Centos、Debian、Kali Linux、Fedora和Linux Mint等等。

CrossRAT會在之後實現針對不同操作系統特定的持久性機制，它會在受感染系統重新啟動時自動執行，並將其自身註冊到C&C伺服器，進而允許遠程攻擊者發送命令以及竊取數據。

CrossRAT包含未激活的鍵盤記錄模塊

CrossRAT被設計成具有一些基本的監視功能，只有在接收到來自C&C伺服器的各種預定義命令時才會被觸發。

Patrick注意到，CrossRAT在被編程時使用了「 jnativehook」。這是一個開源的Java庫，用來監聽鍵盤和滑鼠事件。但在這個版本(0.1)的CrossRAT中，並沒有任何預定義命令被用來激活這個鍵盤記錄功能。

如何檢查自己的設備是否感染了CrossRAT?

由 於CrossRAT針對不同操作系統的會以不同的形式存在，因此檢查自己的設備是否感染了CrossRAT的方法也有所不同，這將取決於你正在運行的操作系統。

人工排查是否被CrossRAT感染：

Windows系統請打開註冊表編輯器然後打開下列路徑，若發現含有java、-jar和mediamgrs.jar說明被感染。

計算機 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Linux發行版請打開/usr/var/文件夾檢查是否存在mediamgrs.jar文件，若存在此文件說明系統已經被感染。

macOS系統可檢查~/Library/路徑下是否存在mediamgrs.jar文件，若存在此文件說明該系統已經被感染。

文章部分來源：黑客視界

你可能喜歡

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！