这个 Windows 密钥破解器其实是远程木马程序

游研社 • 2023年9月29日 07:13 • 投稿

虽然现代人的版权意识相比过去来说强了很多，但基于投机与贪小便宜的心理很多人在安装操作系统或是软件时，总会想找看看有没有破解版、免费版。近日，安全研究单位发现了一种新的恶意软件活动，以 Windows 操作系统产品密钥破解工具的形式伪装，实际上却是 BitRAT 或是远程访问的木马程序。
这个 Windows 密钥破解器其实是远程木马程序

这个 Windows 密钥破解器其实是远程木马程序

安全研究机构ASEC近日发现特殊LUALAR RAT，通过韩国在线文件共享服务Webhards传播，文件名直接点名是可以快速安装的Windows密钥验证器。众所周知，破解版和盗版软件中常常会夹带侵入硬件设备的恶意软件，但许多人往往不会认真去看待这些常识性的问题，或者不想要花钱购买 Windows 密钥，因此恶意软件制造者还是会继续通过此类手段生产和传播恶意软件。

这个 Windows 密钥破解器其实是远程木马程序
▲在韩国网站上的 Windows 密钥验证器发文

当毫无戒心的用户下载了名为「Program.zip」的档案后只需要输入「1234」的密码即可解锁并解压缩，其中包含有一个名为「W10DigitalActivation.exe」的档案，外观上看起来就跟常见的破解器差不多。
这个 Windows 密钥破解器其实是远程木马程序
▲压缩文件中所包含的档案

「W10DigitalActivation.exe」是一个 7z SFX 文件，其中包含一个名为「W10DigitalActivation.msi」的实际验证工具和名为「W10DigitalActivation_Temp.msi」的恶意软件。当用户在该 exe 文件上按两下时，它将同时安装把两个 msi 文件安装到电脑上，由于恶意软件和验证工具同时运行，因此用户会误以为该工具正常运行。
这个 Windows 密钥破解器其实是远程木马程序
▲7z SFX文件中的恶意软件

此密钥验证工具中还配备了其他功能，无论如何都不是表面上看起来那么简单的程序。如下图所示，其功能之一是利用 powershell 命令将 Windows 启动程序文件夹（安装下载程序的位置）设定为 Windows Defender 的排除路径，并将 BitRAT 进程名称「Software_Reporter_Tool.exe」新增到 Windows Defender 的排除项目中。
这个 Windows 密钥破解器其实是远程木马程序

最终安装的恶意软件名为 BitRAT 的远程访问特洛伊木马病毒，自 2020 年以来，BitRAT一直通过黑客论坛对外出售，并不断被攻击者使用。由于 BitRAT 是用在远端访问的木马，因此攻击者可以控制受感染的系统。 BitRAT 不仅提供运行进程任务、服务任务、文件任务和远程命令等基本控制功能，还提供各种信息窃取功能、HVNC（隐藏桌面）、远程桌面、挖矿和代理服务器等额外选项。
这个 Windows 密钥破解器其实是远程木马程序
▲BitRAT 的 C&C 控制介面