【安全资讯】Warzone RAT作为MaaS服务在地下论坛出售
引言
Warzone是一种远程访问木马 (RAT),作为基于恶意软件即服务 (MaaS) 的订阅平台在公开网站上出售。Warzone基本构建器的初始订阅起价仅为每月 22.95 美元,因此可以吸引预算有限的新手攻击者。
简况
Warzone作为“C++ Native RAT”进行销售,通常也被称为“ Ave Maria ”。Warzone专门针对Windows系统。Warzone为升级订阅的用户提供更高级的功能,包括 rootkit、隐藏进程功能、高级动态 DNS (DDNS) 和客户支持。
Warzone最新的主要构建器版本是 Warzone 2.7,包含隐藏远程桌面协议 (HRDP) 更新和对 Windows 10 的支持。HRDP 功能允许攻击者与受害者同时访问系统。该版本已经破解,破解文件夹文件列表如下图:
Warzone RAT 是高度可配置的,操作者可以指定 C2 服务器的 IP 地址和端口等内容,以及有效负载名称、启动选项、替代数据流 (ADS) 使用情况以及其他功能,配置详细信息的窗格如下图:
配置信息存储在RC4 加密的 BSS 部分种 ,第一个双字节数据是密钥的长度,然后是密钥,然后是 Unicode 格式的数据。恶意软件会搜索已知文件路径以查找可以自动获取的存储凭据。Warzone键盘记录器包括跟踪打开的文件和键入的控制键的功能。
Warzone 的开发者还制作了一个用于销售的 XLL 漏洞利用构建器,可用于将生成的有效负载嵌入 Excel 文件中,以便通过网络钓鱼进行传播。
失陷指标(IOC)12
这么重要的IOC情报,赶紧
登录
来看看吧~
相关链接
https://blogs.blackberry.com/en/2021/12/threat-thursday-warzone-rat-breeds-a-litter-of-scriptkiddies
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享