近日，安天 CERT（安全研究與應(yīng)急 處理中心）在梳理網(wǎng)絡(luò)安全事件時(shí)注意到 一款新出現(xiàn)的 RAT 后門木馬。該木馬為 國(guó)產(chǎn)軟件“刑天”，對(duì)外有免費(fèi)測(cè)試版和 付費(fèi)版，可用于網(wǎng)站測(cè)試和非法活動(dòng)。遠(yuǎn) 控啟動(dòng)后，會(huì)先進(jìn)行安裝。在注冊(cè)表中注 冊(cè)設(shè)置好名字的服務(wù)，釋放 dll 并將自身 更新到封裝 dll 的資源節(jié)中，之后啟動(dòng)服務(wù)。 服務(wù)啟動(dòng)后，將加密的 C2 服務(wù)器地址解 密然后進(jìn)行連接，同時(shí)開啟線程進(jìn)行內(nèi)網(wǎng) IPC$ 攻擊，循環(huán)運(yùn)行等待 C2 服務(wù)器發(fā)送 指令進(jìn)行 DDoS 攻擊。釋放的 dll 啟動(dòng)后， 檢測(cè)同名互斥量是否存在，如果不存在，則從資源節(jié)中釋放出原文件并執(zhí)行。

     樣本會(huì)將自身復(fù)制到 C 盤 Windows 目錄下，重命名為六位隨機(jī)字符的 EXE 可執(zhí)行文件。然后刪除自身文件并調(diào)用 ShellExcuteExA 執(zhí) 行 復(fù) 制 后 的 文 件。 將 文件自身更新到資源節(jié)中并釋放資源節(jié) 到 %system32% 目錄下，資源節(jié)為 dll，更 新完成后程序?qū)⒊蔀?dll 的資源節(jié)。接下 來創(chuàng)建線程使用窮舉 IP 的方式對(duì)內(nèi)網(wǎng)進(jìn)行 IPC$ 攻擊，爆破的密碼字典為硬編碼。橫 向滲透完成后，解密 C2 地址并連接，回 傳系統(tǒng)信息，如 CPU 頻率、內(nèi)存大小、 網(wǎng)卡速率、語言類型、系統(tǒng)版本等，而且會(huì)等待 C2 服務(wù)器指示，進(jìn)行相應(yīng) DDoS 攻擊、命令執(zhí)行、刪除服務(wù)等操作。

     安天 CERT 提醒廣大網(wǎng)絡(luò)使用者， 要提高網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及 時(shí)進(jìn)行系統(tǒng)更新和漏洞修復(fù)，不要隨意下 載非正版的應(yīng)用軟件、非官方游戲、注冊(cè) 機(jī)等。收發(fā)郵件時(shí)要確認(rèn)收發(fā)來源是否可 靠，更加不要隨意點(diǎn)擊或者復(fù)制郵件中的 網(wǎng)址，不要輕易下載來源不明的附件，發(fā) 現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時(shí)采取應(yīng)對(duì)措 施，養(yǎng)成及時(shí)更新操作系統(tǒng)和軟件應(yīng)用的 好習(xí)慣。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了 對(duì)該類木馬樣本的檢出。