RAT 威胁 RAT 的主要目标即帮助恶意攻击者实现远程系统监控。RAT 一旦设法将自身植入某个系统,就需要通过回拨的方式来获取进一步行动指示。RAT 需要定期或不定期地连接互联网,而且经常借助 C2 架构来实施恶意活动。 RAT 常常会试着对计算机施加后台管控和/或从中盗取信息,无论是密码、截屏还是浏览历史。之后它便将盗取的数据发回至恶意攻击主体。 如今,大部分 RAT 恶意软件会通过加密手段来隐蔽通过网路传输的内容,例如 Orcus RAT、RevengeRat、以及 Gh0st RAT 的几种变体。
RAT 威胁通过加密手段对计算机施加控制
加密货币矿工 加密货币矿工会在其运行的计算机和服务器之间建立 TCP 连接。计算机通过这条通道定期接收来自服务器的工作任务,对其进行处理,然后将其发回服务器。要进行加密货币挖矿活动,就必须维持这些连接。因为如果失去了这道连接,计算机就无法对其工作情况进行验证。 考虑到这些连接的长度、重要性以及被发现的几率,恶意加密货币挖矿者通常会对这些连接进行加密处理。 值得注意的是,这里提到的加密适用于任何类型的加密货币挖矿行为,无论是蓄意的还是恶意的。就像我们之前在 Threat of the Month(每月热点威胁)博客中发布的一篇有关恶意加密货币挖矿的文章中提到的,这两类采矿行为最大的区别在于是否获得许可。
加密货币矿工在服务器之间来回传输工作任务
银行木马 银行木马程序的运行依赖于对受感染计算机上的 web 流量所实施的监控。为此,一些银行木马程序会通过恶意代理采集 web 流量或将数据窃取至 C2 服务器。 为防止恶意流量被发现,一些银行木马程序也会采取流量加密手段。例如一个名为 IcedID 的银行木马程序会利用 SSL / TLS 发送窃取的数据。还有一个名为 Vawtrak 的程序,则是通过一种特殊的编码模式来隐藏它的 POST 数据流量,以增大解码和识别的难度。