APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具，自我更新更厲”駭”

BKDR_ADDNEW 惡意程式 (也就是地下網路上所稱的「DaRK DDoSseR」) 是一個可從事 DDOS 分散式阻斷服務攻擊的工具，同時又具備了密碼竊取能力、瀏覽檔案、擷取畫面、啟動麥克風或啟動網路攝影機等能力。該工具的售價大約 30 美元，已經出現好幾年了。

某些感染 BKDR_ADDNEW 程式的電腦後來也感染了 Gh0st RAT 惡意程式。儘管 Gh0st RAT 曾經出現在許多鎖定目標攻擊，但此工具及其多個變種一直為 APT攻擊/進階持續性威脅 (Advanced Persistent Threat, APT)者與網路犯罪者所廣泛採用。

在執行時，BKDR_ADDNEW 會連線至一個 TCP 連接埠來接收遠端犯罪者的指令 (我們分析過一些使用連接埠443, 3176 和 3085 的樣本，但其預設連接埠為 3175)。
可能接收到的一些指令包括：下載檔案、竊取 Mozilla Firefox 密碼、顯示 DNS 資訊以及傳送應用程式權限等等。此外，它還能發動阻斷服務 (DOS) 攻擊。

就趨勢科技的調查所知，BKDR_ADDNEW 內建了讓歹徒「更新」惡意程式的功能。

透過這樣的功能，DaRK DDoSseR 殭屍網路/傀儡網路 Botnet的經營者就能下達指令叫受操控的電腦下載並執行 Gh0st RAT。

為何受感染的電腦會同時出現這兩種惡意程式呢？有幾種可能的解釋：

DaRK DDoSseR 殭屍網路/傀儡網路 Botnet的經營者將其網路賣給其他犯罪集團。這些遭惡意程式感染的殭屍電腦在地下網路上原本就有市場，這次或許是經營權易主。
儘管 DaRK DDoSseR 擁有發動阻斷服務攻擊與竊取密碼的能力，但它仍非功能完整的 RAT (遠端存取工具)，因為這類工具通常具備瀏覽檔案、擷取畫面、啟動麥克風或啟動網路攝影機等能力。或許該殭屍網路的經營者希望增加一些額外功能，所以才會下令要這些受感染的電腦下載並安裝 Gh0st RAT。

您也可以參考我們先前討論其他 RAT 程式 (如 JACKSBOT、PlugX 及 Poison Ivy) 的部落格文章：

趨勢科技的使用者不需擔心此威脅，因為主動式雲端截毒服務 Smart Protection Network已能偵測上述惡意程式。

◎原文來源

DaRK DDoSseR Leads to Gh0st RAT)Nart Villeneuve (資安威脅高級研究員)

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚