安全研究人员说,他们发现了新版本的Sarwent恶意软件,该恶意软件在受感染的计算机上打开了RDP(远程桌面协议)端口,从而使黑客可以亲自动手访问受感染的主机。
来自SentinelOne的研究人员发现了这个新版本后,认为Sarwent运营商很可能准备出售网络犯罪地下世界中的这些系统的访问权,这是一种将具有RDP功能的主机货币化的常用方法。
SARWENT恶意软件
Sarwent恶意软件是自2018年以来一直鲜为人知的后门特洛伊木马。在其先前版本中,该恶意软件包含一组有限的功能,例如能够在受感染计算机上下载和安装其他恶意软件。
但是在过去几周发现的最近一次攻击中,SentinelOne恶意软件分析师Jason Reaves说Sarwent收到了两个重要更新。
首先是能够通过Windows命令提示符和PowerShell实用程序执行自定义CLI命令的功能。
但是,尽管这个新功能本身很吸引人,但研究人员说,Sarwent还通过最新更新获得了另一个新功能。
Reaves说,Sarwent现在在每个受感染的主机上注册一个新的Windows用户帐户,启用RDP服务,然后修改Windows防火墙以允许外部RDP访问受感染的主机。
这意味着Sarwent操作员可以使用他们创建的新Windows用户来访问受感染的主机,而不会受到本地防火墙的阻止。
Reaves在今天的一次采访中告诉ZDNet,此新Sarwent版本的发行暂时受到限制。
“我只看到下载为继发感染其他恶意软件的新版本-作为一个例子捕食者小偷,”里维斯告诉网易科技。
由于目前的分配方案,清理Sarwent感染“稍微复杂些”,研究人员补充说。
这包括删除Sarwent(安装它的原始恶意软件),删除新的Windows用户,然后关闭Windows防火墙中的RDP访问端口。
RDP访问权限是什么?
目前,Sarwent在所有受感染主机上获得的RDP访问权限仍是一个谜。
Reaves告诉ZDNet: “通常,犯罪软件领域中恶意软件的开发取决于货币化的需求或客户对功能的需求。”
存在几种理论。Sarwent犯罪团伙可以自己使用RDP访问权限(窃取专有数据或安装勒索软件),可以将RDP访问权租给其他网络犯罪或勒索软件犯罪团伙,也可以将RDP终结点列出在所谓的“ RDP商店”中,例如下面列出的一个。
SentinelOne的Sarwent报告中包含针对新Sarwent恶意软件版本的危害指标(IOC)。安全团队可以使用这些IOC来搜寻其计算机机群中的Sarwent感染。
*编译:Domino
*来自:ZDNET