最近,安全研究人员发现了一种新版本的Windows恶意软件,它会在WindowsPC上打开RDP端口以进行远程访问。SentinelOne安全研究员JasonReaves透露,这款名为“Sarwent”的新版本恶意软件从2018年开始使用。目前,这款新版本的Sarwent恶意软件已经引起了众多安全专家的关注。安全研究员VitaliKremez在今年(2020年)早些时候发了一条推特,其中提到了有关此Sarwent恶意软件的一些信息。安全专家表示,目前还不确定Sarwent是如何传播的,可能是通过其他恶意软件传播的。此外,早期版本的Sarwent被开发用于在受感染的PC上安装其他恶意软件。Sarwent恶意软件的运营商可能会在黑客的网站和论坛上出售“对这些受感染系统的访问权限”,因为这是通过启用RDP的主机获利的最常见方式之一。Sarwent功能黑客仍在开发和使用Sarwent恶意软件,该恶意软件具有新命令并专注于远程桌面协议(RDP)。新版本的Sarwent以其通过Windows命令提示符和PowerShell实用程序执行自定义CLI命令的能力而著称。安全专家表示,新功能本身就具有相当大的侵入性,但除此之外,Sarwent还通过更新获得了另一项新功能,即能够在每个受感染的主机上注册一个新的Windows用户帐户。一旦Sarwent成功入侵系统,恶意软件就会创建一个新的Windows用户帐户,修改防火墙,然后打开RDP端口。简而言之,攻击者将能够使用他们在受感染系统上创建的新Windows用户访问主机,而不会被Windows防火墙阻止。SentinelOne安全研究员JasonReaves表示,攻击者这样做是为了在未来获得对受感染系统的远程访问权限,但这取决于攻击者本人,不能排除攻击者将RDP访问权转卖给其他不法分子的可能性出去。性别。在有限数量的原始命令中发现,此恶意软件在历史上一直充当加载程序循环,以下是一些原始命令:|download||update||vnc|但是,最近,攻击者修改了Sarwent恶意软件,一些命令具有已添加,主要针对后门或RAT等功能,以下是新添加的命令:|cmd||powershell||rdp|Sarwent恶意软件背后的攻击者可能只是他自己使用RDP访问窃取专有数据或安装勒索软件。但如前所述,不排除将RDP访问权出租给其他黑客的可能性。除了恶意软件的IOC描述,SentinelOne安全专家JasonReaves还介绍了IndicatorsofCompromise(IOCs)。更多细节请参考原文。
