黑客可在地下黑客論壇免費下載的遠(yuǎn)程訪問木馬“Cobian RAT”中包含秘密后門，原木馬開發(fā)人員可借此訪問所有受害者的數(shù)據(jù)。

網(wǎng)絡(luò)安全公司Zscaler高級研究總監(jiān)迪班·德賽表示，Cobian RAT自2017年2月在地下黑客論壇供其它黑客免費下載，原開發(fā)人員提供的“免費的生成器”可讓其它黑客創(chuàng)建自定義Cobian RAT。

Zscaler分析這款生成器后發(fā)現(xiàn)一個有趣的功能：原開發(fā)人員在生成器工具中注入了從Pastebin URL(由原開發(fā)人員控制)獲取C&C服務(wù)器信息的后門模塊，這樣一來，原開發(fā)人員可以控制被Payload(使用這個后門生成器生成的Payload)感染的系統(tǒng)。

Cobian RAT眾包模式?從上圖可以看出，原開發(fā)人員依賴二級操作人員創(chuàng)建這款RAT的 Payload并傳播感染。之后借助后門模塊完全控制所有被Cobian RAT僵尸網(wǎng)絡(luò)感染的系統(tǒng)，原開發(fā)人員還能修改二級操作人員配置的C&C服務(wù)器信息。

黑客獲取這個生成器，創(chuàng)建自定義Cobian RAT，并散布Payload，以此感染其它用戶。

利用Pastebin文件在Cobian RAT中植入后門免費下載這款RAT的黑客并不知道，自定義Cobian RAT會秘密連接到原開發(fā)人員控制的Pastebin URL，而下載的黑客通過該URL接收新命令。

德賽表示，與Cobian RAT變種對應(yīng)的Pastebin文件有4055個唯一訪客點擊量，這說明和部分系統(tǒng)已被感染。

這些系統(tǒng)被“兩名”黑客訪問：

傳播自定義Cobian RAT的黑客

Cobian RAT原開發(fā)人員

Cobian RAT存在漏洞Cobian并未超越過去那些免費的RAT，因為對于菜鳥級黑客而言，并不是所有功能都奏效。

德賽指出，研究人員測試鍵盤記錄模塊后發(fā)現(xiàn)漏洞百出。因為當(dāng)用戶打字速度稍快時，該模塊就無法準(zhǔn)確捕獲擊鍵。這可能是這款RAT受歡迎程度不太高的原因。盡管Cobian半年以前就提供免費下載，但截止目前研究人員極少發(fā)現(xiàn)Cobian被大肆利用的情況。

德賽稱，目前從未發(fā)現(xiàn)任何一起大規(guī)模攻擊活動涉及Cobian RAT，但他們發(fā)現(xiàn)攻擊分子通過被黑網(wǎng)站散布該RAT的少數(shù)孤立事件。盡管如此，拋開后門和鍵盤記錄的劣勢組件不談，Cobian仍不比其它競爭RAT遜色多少。

德賽指出，Cobian RAT包含免費/付費RAT中的所有基本功能，包括：

鍵盤記錄、截屏、網(wǎng)絡(luò)攝像頭、錄音、文件瀏覽器、遠(yuǎn)程命令殼、動態(tài)插件、安裝/卸載。

Cobian RAT中存在的后門還是抹殺了它未來的發(fā)展。后門被曝光之后，黑客可能不再愿意冒險下載這款工具。