间谍软件CrossRAT可持续监控目标系统，Windows、macOS、Linux无一幸免

通常来讲，Linux和macOS操作系统被认为具有更高的安全性。但如果你认为它们就不容易受到计算机病毒的攻击，那么你可能需要仔细阅读下文。

越开越多的网络犯罪分子正在开始使用一种新的“无法检测”的恶意软件，其目标包括运行Windows、macOS、Solaris和Linux系统的设备。

这个新型的跨平台恶意软件名为“CrossRAT”，是一种远程访问木马程序，针对当前四种流行的计算机操作系统，使得攻击者能够远程操纵计算机系统、屏幕截图以及运行任意可执行文件。

据研究人员介绍，CrossRAT是由发起网络间谍活动“Dark Caracal”背后的APT组织开发的。该组织在传播CrossRAT时，并不依靠任何零日漏洞；相反，他们选择了最为基本的社会工程。

具体来讲，该组织通过利用Facebook群组和WhatsApp消息上的帖子来诱导受害者访问由黑客控制的虚假网站，由此下载用于传播CrossRAT的恶意应用程序。

另外，由于CrossRAT是采用Java编程语言编写的，这使得研究人员能够很容易对其进行反编译。

根据VirusTotal（一个提供免费的可疑文件分析服务的网站）的扫描结果，在目前流行的58款防病毒软件中，只有两款可以检测到CrossRAT。

美国国家安全局（NSA）前雇员Patrick Wardle对CrossRAT进行了深入分析，并提供了一份全面的技术概述，包括其持久性机制、命令和控制通信以及它的能力。

一旦在目标系统上执行，植入物（hmar6.jar）首先检查正在运行的操作系统，然后针对性地安装对应的程序。

除此之外，hmar6.jar还会尝试收集有关受感染系统的信息，包括已安装的操作系统版本、内核版本和体系结构。

对于Linux系统，CrossRAT会尝试查询systemd服务文件以确定操作系统版本，如Arch Linux、Centos、Debian、Kali Linux、Fedora和Linux Mint等等。

CrossRAT会在之后实现针对不同操作系统特定的持久性机制，它会在受感染系统重新启动时自动执行，并将其自身注册到C＆C服务器，进而允许远程攻击者发送命令以及窃取数据。

CrossRAT被设计成具有一些基本的监视功能，只有在接收到来自C＆C服务器的各种预定义命令时才会被触发。

Patrick注意到，CrossRAT在被编程时使用了“ jnativehook”。这是一个开源的Java库，用来监听键盘和鼠标事件。但在这个版本（0.1）的CrossRAT中，并没有任何预定义命令被用来激活这个键盘记录功能。

由于CrossRAT针对不同操作系统的会以不同的形式存在，因此检查自己的设备是否感染了CrossRAT的方法也有所不同，这将取决于你正在运行的操作系统。

检查“HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run”注册表项。

如果被感染，它将包含一个命令，包含java、-jar和mediamgrs.jar。

检查“〜/ Library”中的jar文件“mediamgrs.jar”。

还可以在“/ Library / LaunchAgent”或“〜/ Library / LaunchAgents”中查找启动代理（名为mediamgrs.plist）。

在“/ usr / var”中检查jar文件“mediamgrs.jar”。

还可以在“〜/ .config / autostar”t中查找一个名为“mediamgrs.desktop”的“autostart”文件。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

研究：把EDR安全工具改造成超级恶意软件