近日，安天 CERT（安全研究與應急 處理中心）在梳理網絡安全事件時發現一 款 使 用 C2-as-a-Service（C2aaS）， 即 “命令與控制服務器即服務”的商業遠控 RAT，其名為 WebMonitor。

     WebMonitor RAT 通常在地下論壇中 出售，2017 年 5 月出現在 hackforums 論壇 中，分為三種版本，價格分別為 14.99、 24.99、29.99 歐元。除了在 hackforums 上 進行出售，revcode.eu 也是其主要銷售與 服務的網站。

     WebMonitor 的 服 務 器 商 擁 有 基 于 Web 的界面，提供了包含 VPN 和 C2 的 服務。其有兩種界面選項，原始的“精簡 版”與功能復雜的“企業版”。其提供了一系列功能，其中包括注入 DLL、藍牙管 理、瀏覽器插件及其圖像緩存、系統各項 證書密碼、鍵盤記錄、攝像頭操作、系統 各項信息等。WebMonitor 的客戶端使用 Visual Basic 6 編 寫， 使 用 UPX 加 殼， 運 行后會安裝到 \%USERNAME%\AppData\ Roaming\REVCODE-***.EXE， 在 注 冊 表中會創建自啟動鍵。客戶端生成器可以 選擇安裝時不彈出安裝窗口，生成功能與 C2aaS 相關聯，使用者并不能運行他們自 己的 C2，WebMonitor 為使用者提供虛擬 主機名，使用者可以直接通過 Web 界面 進行訪問，其 C2 域與銷售網站 revcode.eu 相同。

     WebMonitor RAT 雖 然 擁 有 多 種 訪問和控制受害者的功能，但由于其使用了 “C2aaS”模式，對其檢測就變得較容易。 安天 CERT 提醒廣大網絡使用者，要提高 網絡安全意識，在日常工作中要及時進行 系統更新和漏洞修復，不要隨意下載非正 版的應用軟件、非官方游戲、注冊機等。 收發郵件時要確認收發來源是否可靠，更 加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。目前，安天追影產品已經實現了對該 類惡意代碼的檢出。