周四,美国政府宣布查封了一个用于销售旨在监视计算机和手机的恶意软件的网站。
该恶意软件称为 NetWire,多年来,多家网络安全公司和至少一个政府机构都撰写了详细说明黑客如何使用该恶意软件的报告。据报道,虽然 NetWire 还在黑客论坛上做广告,但恶意软件所有者在一个网站上对其进行营销,使其看起来像是一个合法的远程管理工具。
“NetWire 专为帮助企业完成与维护计算机基础设施相关的各种任务而设计。它是一个单一的“命令中心”,您可以在其中保存所有远程计算机的列表,监控它们的状态和库存,并连接到其中任何一台以进行维护,”阅读该网站的存档版本。
在宣布查封托管在worldwiredlabs.com的网站的新闻稿中,位于加利福尼亚州中区的美国检察官办公室表示,联邦调查局于 2020 年开始对该网站进行调查。
美国检察官办公室的一位发言人向 TechCrunch 提供了一份用于查封该网站的搜查令副本,其中详细说明了 FBI 如何确定 NetWire 事实上是一种远程访问木马或 RAT 恶意软件,而不是要管理的合法应用程序远程计算机。
逮捕令包含一份由一位未透露姓名的 FBI 特别工作组官员撰写的宣誓书,他解释说 FBI 调查小组的一名成员或代理人购买了 NetWire 许可证,下载了恶意软件,并将其交给了 FBI-LA 计算机科学家,后者在2020 年 10 月 5 日和 2021 年 1 月 12 日。
为了测试恶意软件的功能,计算机科学家在测试计算机上使用 NetWire 的 Builder Tool 构建“NetWire RAT 的定制实例”,该实例安装在由代理控制的 Windows 虚拟机上。在此过程中,NetWire 网站“从未要求 FBI 确认它拥有、操作或拥有 FBI 在测试期间攻击的测试受害机器的任何财产权(如果攻击是为了合法或合法的,这将是适当的)授权目的)。”
换句话说,根据这个实验,FBI 得出结论,NetWire 的所有者从来没有费心检查其客户是否在他们拥有或控制的计算机上出于合法目的使用它。
使用他们设置的虚拟机,FBI 计算机科学家随后测试了所有 NetWire 功能,包括远程访问文件、查看和强制关闭应用程序(如 Windows 记事本)、泄露存储的密码、记录击键、通过提示符或 shell 执行命令,以及截图。
“FBI-LA [计算机科学家] 强调,在上面测试的所有功能中,受感染的计算机从未显示通知或警告这些操作正在发生。这与合法的远程访问工具相反,在这些工具中,通常需要用户的同意才能代表用户执行特定操作,”工作组官员在宣誓书中写道。
该官员还引用了 FBI 在 2021 年 8 月收到的来自美国 NetWire 受害者的投诉,但没有包括受害者的身份,也没有包括案件的许多细节,只是说受害者雇用了第三方网络安全公司得出的结论是,受害公司收到了一封安装了 NetWire 的恶意电子邮件。
美国加利福尼亚州中区检察官办公室发言人 Ciaran McEvoy 告诉 TechCrunch,除了逮捕令和随附的宣誓书外,他不知道有关此案的任何其他公开文件,因此有关关闭该网站的操作的信息使用出售 NetWire,包括其所有者的身份,在这一点上是有限的。
美国司法部在新闻稿中写道,克罗地亚当局逮捕了一名据称经营该网站的当地公民,但没有透露嫌疑人的姓名。
公告发布后,网络安全记者布赖恩·克雷布斯 (Brian Krebs)撰写了一篇文章,其中他使用了可公开访问的 DNS 记录、WHOIS 网站注册数据、对公开数据库泄露的数据进行索引的服务提供的信息,甚至是 Google+ 个人资料,来链接 worldwiredlabs。 com 网站给一个叫 Mario Zanko 的人。
FBI 如何证明远程管理工具实际上是恶意软件作者Lorenzo Franceschi-Bicchierai最初发表于TechCrunch
原文: https://techcrunch.com/2023/03/09/how-the-fbi-proved-a-remote-admin-tool-was-actually-malware/