300块一天 国内黑客售卖新型远控工具

近日，瑞星威胁情报平台率先捕获到一批攻击流程异常复杂的意程序，经瑞星安全研究院深入分析发现，这些恶意程序实则是一整套黑产工具，名为“FastDesktop”，该工具可以通过衍生出的病毒及变种远程控制用户主机，并上传用户隐私信息。经溯源发现该病毒作者疑为国内黑客，通过售卖这套黑产工具牟取利益，定价为300块/天。(获取完整报告关注“瑞星企业安全”，回复关键字“FastDesktop”)

瑞星安全专家介绍，在通过对多个同类样本进行分析后发现，这批恶意程序为后门病毒，其中的两大版本均是通过DLL劫持进行攻击的，攻击者通过调用系统进程svchost.exe，以服务形式加载一个正规迅雷的库文件fdsvc.dll，然后在该库文件执行的时候再导入伪装成迅雷的另一个恶意文件libexpat.dll，同时由于在攻击流程中负责执行攻击功能的文件都是DLL库，需要被加载进内存才可以执行，因此依靠“捕获-响应”、基于特征或哈希的传统反病毒技术很难检测出这类恶意程序。

500)this.width=500 align=center hspace=10 vspace=10 rel=nofollow/>

500)this.width=500 align=center hspace=10 vspace=10 rel=nofollow/

500)this.width=500 align=center hspace=10 vspace=10 rel=nofollow/>

500)this.width=500 align=center hspace=10 vspace=10 rel=nofollow/

瑞星安全专家表示，近年来基于发的病毒日益增多，这源于其开源代码多，开发速度快，开发成本低，因此有不少黑客都会采用.NET编写恶意程序。而此次瑞星截获的“FastDesktop”，相较一般.NET恶意程序而言，攻击流程更加复杂，且初始攻击模块的恶意行为度很低，结构简单，因此隐匿性更强，不仅可以有效对抗查杀，还便于后期病毒版本的更新。

通过更进一步的分析，瑞星威胁情报中心查询到病毒作者使用到的其中一个域名Whois信息，通过点击发现这是一个购买远程控制软件的网站。在经过注册并登陆后显示账户已经过期，需要用户进行续费，并且界面中包括售前/售后、账户充值及管理端下载等主要功能，且定价为300/天。由此可知，“FastDesktop”制作者为国内黑客，制作这套工具，就是为了进行售卖，方便一些没有开发能力的不法分子直接购买，对目标进行远程控制类攻击。

500)this.width=500 align=center hspace=10 vspace=10 rel=nofollow/>

500)this.width=500 align=center hspace=10 vspace=10 rel=nofollow/

值得一提的是，此次瑞星捕获的FastDesktop system.dll，在VirusTotal今年3月的首次检测报告中，仅瑞星一家国内厂商将其判定为“恶意”。这源于瑞星近年来在人工智能引擎技术方面的不断研究，以及对意软件检测能力上的两项重要创新：

研发基于人工智能的.NET程序文件判定引擎。海量分析的基础上总结抽象，设计一套适用于通用检测和混淆检测的向量化方案，将文件转为1627维特征向量。特征点囊括潜在隐写、动态加载、动态编译、压缩解压缩、编码解码、加密解密、网络下载等多方面的代码意图。

改进特征码检测技术。通过反编译将.NET程序转为结构化文本代码，称之为“程序主干”。结合智能特征码，综合主干中函数调用流、数据引用流、特殊指令流来抽象恶意代码特征，规避二进制特征码易绕过的缺点，但该方案需人工干预，响应速度和日处理量受限人力。

迅雷会员25天/4.5元，独享1天0.7元，请点本站上边链接购买

2022年04月25日 11:59:42

随机账号密码机器码：
50RF588 ZK81wd833W
66LF105bsC60ml KT70cj
89AL10 CJ27is255Z
24SV841tt MD74ii
65VT2 CZ67
10BZ539qzJ3 JH09gc879
10FK947bi KD26ho518Lt
80UG188e DT88bl411
80UG566z BZ64ki
67E AA79ju072Aud
62KZ654gaL88 FI33pt
68VF FO04ov350Ddl
14GL3 EW45rj373
24EL727jyF30 LS19lk478U