来源：https://go.recordedfuture.com/hubfs/reports/threat-identification.pdf

https://securitydebriefing.com/2019/09/13/malware-hunter/

https://threatpost.com/malware-hunter-crawls-internet-looking-for-rat-c2s/125360/

https://malware-hunter.shodan.io/

一、执行的业务案例

不断地将已知的远程访问木马(RAT)控制器位置整合到可操作的防御工作流程和检测技术中是很有用的，与内部遥测技术的自动关联将识别潜在的感染，但对业务的更深层价值是降低风险，以便于理解每个RAT实例背后的对手。

对手归因很难，但值得，因为动机决定方法。探索攻击者的能力和基础设施成为一个辅助的好处。获得一致归因结果的最佳方法之一是开发原始归因方法。这篇报告详细介绍了这种方法的一个例子——主动互联网服务枚举——以及njRAT和Dark Comet等木马的应用结果。

二、背景

远程访问木马(RAT)是一种功能丰富的控制器/服务器软件套件，方便秘密(顾名问义)和未经授权的访问受害者的计算机。RAT病毒通常被具有恶意意图的对手利用，用于记录本地受害者的音频、视频、按键(以及外泄文件)等。

各种威胁行动者——特别是罪犯和民族国家代理人——甚至在原作者被逮捕后，仍继续利用商品rat病毒。民族-国家运动通常包括像“毒葛”和接近衍生物这样的有效载荷，因为它们易于配置，高度可重用，RAT病毒仍然是对付反病毒软件的有效工具。独裁政权尤其如此，他们利用反政府武装来寻找国内持不同政见者的身份和位置。

犯罪分子使用RAT病毒，因为进入RAT病毒的技术门槛较低，而有效操作RAT病毒所需的知识，可迅速从免费的互联网教程中获得。这些教程的内容包括如何包装/隐藏RAT病毒，以躲避杀毒软件;向多个受害者展示能力;建立基础设施，如动态DNS，以支持长期运营。

与传统的僵尸网络术语不同，商品RAT文件(可执行文件)通常被标记为“服务器”，当它被安装在一个受害主机上(通过任意数量的“传播”机制)，而客户端(控制面板)“或控制器”驻留在RAT操作人员的计算机上。

历史上，安全社区通常依靠被动的恶意软件收集方法来识别RAT病毒家族和活动。来源包括客户遥测、蜜罐以及VirusTotal等恶意软件处理和聚合服务。虽然这些都是有用的资源，但使用它们很难快速和主动地识别特定RAT活动的所有实时实例。此外，企业所依赖的衍生性见解很大程度上是被动的，而且只和收集恶意软件的来源一样好。

今天，威胁情报团队继续依赖于对恶意软件样本的批量处理，以获得支持防御技术新规则的衍生指标(ioc)。这种方法虽然部分有效，但依赖于大量的计算和互联网资源来处理安全供应商每天收集的数万(到数百)个恶意软件样本。问题是，即使是反病毒公司在处理大量的日常样本时也会遇到挑战。

该解决方案是主动的、迭代的大规模Internet枚举(扫描)，它允许企业识别匹配特定RAT签名的主机，这些主机可能导致快速和直接的操作员属性。The solution is proactive and iterative large scale Internet enumeration (scanning), which allows businesses to identify hosts matching specific RAT signatures, and those hosts may lead to quick and direct operator attribution.

这种扫描方法揭示了大量RAT操作人员的位置，这些位置以前是主要的恶意软件资源所不知道的- VirusTotal和#totalhash。此外，许多RAT控制器位于住宅ISP (Internet Service Provider)子网上，这可能表明RAT运营商的物理位置。

三、原始情报

当Nmap是惟一可用的现成选项时(除了编写定制的异步多线程扫描程序之外)，Internet扫描在很大程度上是不切实际的。Unicorn Scan的发布，以及Zmap和MASSCAN的最新发布，使得从单个连接设备在相对较短的时间内(几分钟)枚举完整的IPv4地址空间。除了开放端口发现之外，这些工具还返回守护进程的banner信息，这些信息对于识别RAT控制器非常有用。端口扫描工具通常用于识别和计算公共互联网上可用的特定服务，使用这些相同的工具来识别和分析rat病毒对执法和运营维护者都有好处。

当一个正确的请求出现在RAT控制器的侦听器端口上时，RAT会返回特定的响应(字符串)。本报告保留了特定的签名，以避免在威胁演员剧本中增加章节，但这是一个简单的过程来描述RAT家族。在某些情况下，即使是一个基本的TCP三次握手也足以引起RAT控制器响应。唯一的响应是一个指纹，指示一个RAT控制器(控制面板)正在相关计算机上运行。因此RAT控制器及其操作人员天生就容易受到攻击，因为他们经常在互联网上公开操作，并且当适当地询问时，他们会生成唯一的响应字符串。

为了对特定RAT家族进行分析，必须获得样本和/或全包捕获(PCAP)。幸运的是，有许多安全研究人员公开和慷慨地分享恶意代码(恶意软件)生成的网络数据包捕获。

对这些数据包捕获的RAT控制器响应进行分析，得到数字指纹，随后可以与互联网扫描仪一起使用，以识别RAT控制器的实际实例，在某些情况下，还可以识别RAT操作员的家庭IP地址和大致的地理位置。

例如，普遍存在的RAT的一个版本在HTTP GET方法之后返回一个“0”。

用MASSCAN枚举巴勒斯坦的一个/20子网，揭示了一个与端口1177的特定主机匹配的签名

类似地，对阿尔及利亚的一个/16住宅子网的扫描显示多个主机监听端口1177，但只有一个- 197.205.47.239 -与上述签名匹配。

正匹配可以通过Curl或Python Scapy进一步确认，以识别潜在的误报。

可能还有其他合法的守护进程也可能返回“0”，因此在这种情况下不存在完全确定RAT判定为阳性的情况。相反，这是一个带有相当独特的RAT控制器响应串的RAT分析示例。

另一个例子是Havex RAT。2014年，Netresec创建了一个信息丰富的博客，剖析了Havex的沟通模式。值得注意的是，Havex响应包含字符串“Havex”。

四、扩展的方法

由John Matherly创建并维护的互联网服务搜索引擎Shodan被纳入RAT识别工作。与传统的扫描工具相比，Shodan有很多好处，包括不可归属的任务，无需构建和维护基础设施的连续扫描，Shodan还包含数百个流行端口和服务的附加签名。Shodan的Web应用程序和命令行界面(CLI)都很容易使用，Shodan的结果包括任何给定主机的所有可用端口信息。

Shodan的签名还包括RATs，特别是Dark Shades, Dark Comet, njRAT, XtremeRAT, Poison Ivy和Net Bus。因此，Shodan是一个有价值和有用的原始情报来源，以确定活的RAT控制器。尽管结果的数量各不相同，Shodan通常在任何一天识别出400到600个RAT控制器。2015年9月18日的结果可以从Recorded Future的GitHub页面下载。

从2015年7月初开始，一周的RAT控制器IP地址总数为633个。接下来的一周，VirusTotal在633个IP地址中返回了153个衍生恶意软件的结果，或24%的正相关性。因此，Shodan应用的这种原始方法通常会在恶意软件样本提交给VirusTotal之前识别RAT控制器实例，使其成为唯一的威胁源。

此外，许多RAT IP地址位于住宅(动态分配)网络上。RAT操作人员经常在家中运行RAT控制面板，因为代理会引入延迟，从而降低性能，特别是当RAT操作人员想从受害者的摄像头(“网络摄像头”)收集实时视频时。在那些未经授权进入电脑即属犯罪的国家，执法部门只需向相应的互联网服务提供商发出传票(或同等文件)，以确定可能的RAT运营者的身份和居住地点。

在2015年8月17日至21日期间收集了Shodan RAT结果，并确定了471个独特的RAT控制器位置。

使用2105年7月和8月的结果，进一步丰富了RAT控制器位置，以理解单个实例、相应的RAT操作者及其各自的动机。

五、丰富的情报

如前所述，VirusTotal通过相关的恶意软件元数据进一步确认并丰富了RAT控制器结果。其他有价值的浓缩资源可以通过编程方式获得，包括Team Cymru和Recorded Future。

Recorded Future的API提供了有价值的开源结论确认和数据丰富。用于生成RAT IP地址合并列表的完整Recorded Future结果的Python API脚本位于Recorded Future的GitHub页面。

7月初，Shodan公司RAT控制器IP地址综合列表中的“Record Future”结果样本包括:

为了丰富2015年8月17日至21日RAT控制者地点列表，IP地址列表已提交给Recorded Future和Virus Total。Recorded Future IOC丰富脚本返回汇总可用信息的“实体卡”(用于相关IP地址)。丰富脚本还返回从原始RAT控制器IP列表的“病毒总量”结果中检索到的输入域名的信息。

六、主动RAT操作者归因

例1 - VirusTotal

今年早些时候，Shodan发现了一个运行在英国90.212.68.218(天空宽带)上的Dark Comet控制器。

快速的IP地址扩充包括VirusTotal的相关恶意软件样本，文件名为“DeathBotnet!.exe”，域名为yobrohasan[.]ddns.net。“Yobrohasan”是一个独特的字符串，它会在现已关闭的snog.com上缓存一个使用绰号“Yobrohasan”的个人的图像。

我们不可能将这一特殊的 Dark Comet事件完全归因于上述个体，因为RAT操作者可能有意选择“yobrohasan”子域，试图进行虚假信息宣传，或者可能选择子域是因为不喜欢上述个体，或者子域名的选择可能只是一个巧合。如前所述，归因很困难，这个示例为本报告的其余部分提供了很好的提示。

例子2 - Cymru团队

在2015年7月，Cymru团队观察到一个njRAT控制器IP地址- 5.28.184.242 (Ramat Gan Hot Internet，以色列)和一个主机在196.36.153.134 (Internet Solutions，南非)之间有一个高端口UDP会话。

除了在端口1177上识别njRAT外，Shodan还分别识别了运行在端口1900上的UPnP和运行在端口80和8080上的HTTP服务(“WWW-Authenticate: Basic realm=”NETGEAR DGN2200v2BEZEQ”)，这可能表明5.28.184.242主机也充当了代理。

在2015年6月，Team Cymru为xheemax.x64.me识别了一个DNS a记录，解析为5.28.184.242。子域“xheemax”是DDNS服务x64.me生成新域名的唯一字符串。当前域名解析为149.78.239.193 (PSINet, Israel)。

自2011年起，“xheemax”这个网名就出现在多个论坛上，当时他请求大家帮忙“关掉笔记本电脑摄像头上的小灯”。在CryptoSuite上，一个配置文件也被维护为“xheemax Hakkinda”，“关于我”部分包含“RAT”和“Cybergate”。

在2014年，Cymru团队的#totalhash27也识别了xheemax.no-ip.info(204.95.99.109)，并使用了相应的SHA1哈希

- 329 ed5ef04535f5d11d0e59a361263545d740c61

例3 - Maltego

将RAT控制器IP地址—从Shodan 2015年8月17日至21日的结果—导入Maltego，揭示了大量的共性

链路数最多的节点与IP地址位置检测相关。本机Maltego转换专门关联超过50个RAT控制器IP地址与网站，包括localiser-ip[]com和iplocationtools[]com。多个包含有问题的IP地址的历史列表也在pastebin[.]com上被识别出来。

大型数据集的可视化使识别“阻塞点”成为可能——通过通用性——包括(在这种情况下)敌方资源和/或战术，可由作战防御者识别和处理，以提高防御技术的效能

例4 -Recorded Future

Recorded Future匹配了一个RAT控制器IP地址到Pastebin引用- http://pastebin.com/cU4WX0hs -声称IP地址所有者是“Daniel”。Paste的作者接着列出了Daniel的个人身份信息(PII)，包括出生日期、电子邮件和英国牛津附近的实际地址。

Paste的作者进一步声称，“Daniel”为powerstress []com工作，这是一个道德上可疑的“booter”服务，旨在“压力测试”服务器。如果Paste信息是正确的，这表示RAT操作符属性的一个非常简单的情况

结论

独创的、有重点的、可扩展的情报方法对于执法和保护企业非常有用，正如本文所演示的那样。在RAT病毒传播活动开始之前，识别RAT病毒控制者的位置和操作人员可以减少恶意软件的处理资源。

像Recorded Future这样的威胁数据丰富源增加了归因知识(在本例中是围绕RAT操作人员的)，从而增强了对动机、衍生工具、技术和程序的理解。

针对已知RAT签名的主动和可重复的Internet枚举是一种可行的方法，可以生成恶意可观察对象的可操作提要，更重要的是，还提供了进一步的战略机会来识别和理解对手。

RAT操作人员天生就容易受到攻击，因为他们经常在互联网上公开操作，而他们购买或下载的RAT会在适当询问时生成唯一的响应字符串。由于在指定端口上侦听的RAT服务是攻击者计算机的一个很容易的远程入口点，因此该漏洞会进一步扩展。