【安全资讯】Warzone RAT作为MaaS服务在地下论坛出售

引言

Warzone是一种远程访问木马 (RAT)，作为基于恶意软件即服务 (MaaS) 的订阅平台在公开网站上出售。Warzone基本构建器的初始订阅起价仅为每月 22.95 美元，因此可以吸引预算有限的新手攻击者。

简况

Warzone作为“C++ Native RAT”进行销售，通常也被称为“ Ave Maria ”。Warzone专门针对Windows系统。Warzone为升级订阅的用户提供更高级的功能，包括 rootkit、隐藏进程功能、高级动态 DNS (DDNS) 和客户支持。

Warzone最新的主要构建器版本是 Warzone 2.7，包含隐藏远程桌面协议 (HRDP) 更新和对 Windows 10 的支持。HRDP 功能允许攻击者与受害者同时访问系统。该版本已经破解，破解文件夹文件列表如下图：

Warzone RAT 是高度可配置的，操作者可以指定 C2 服务器的 IP 地址和端口等内容，以及有效负载名称、启动选项、替代数据流 (ADS) 使用情况以及其他功能，配置详细信息的窗格如下图：

配置信息存储在RC4 加密的 BSS 部分种 ，第一个双字节数据是密钥的长度，然后是密钥，然后是 Unicode 格式的数据。恶意软件会搜索已知文件路径以查找可以自动获取的存储凭据。Warzone键盘记录器包括跟踪打开的文件和键入的控制键的功能。

Warzone 的开发者还制作了一个用于销售的 XLL 漏洞利用构建器，可用于将生成的有效负载嵌入 Excel 文件中，以便通过网络钓鱼进行传播。