令人“智熄”的操作,乌克兰一黑客落网

令人“智熄”的操作,乌克兰一黑客落网

乌克兰警方逮捕了一名42岁男子,罪名是使用DarkComet远程控制木马(RAT)感染50个国家的2,000多名用户。警方执行搜查令后,该名男子上周于乌克兰西部利沃夫市的住所被捕。

在上周五发布的新闻稿中,乌克兰警方表示他们在该男子的计算机上找到了一个改进的DarkCommet RAT管理员面板、恶意软件的安装文件、以及受害者被感染计算机的屏幕截图。

令人“智熄”的操作,乌克兰一黑客落网

DarkCommet RAT管理员面板

DarkComet于2008年首次发布,在国内也被称为“暗黑彗星”木马,最初作为合法的远程管理工具包。由于其出色的间谍能力,该工具很快被恶意软件开发者利用,并在几个月内迅速发展为流行的RAT。

该工具的作者,法国软件开发人员Jean-Pierre Lesueur,在发现该工具主要用来进行网络犯罪,而且有报告显示叙利亚当局一直在利用它来打击持不同政见者之后,于2012年停止开发该工具。

尽管如此,其他非官方开发者仍然在继续开发DarkComet。现如今,该RAT仍继续困扰着用户,最近朝鲜政府支持的黑客所使用的工具中就能看到DarkComet的身影。

做为典型的RAT,DarkCommet由安装在受感染计算机上的“客户端”组成,它们将数据发送回“服务器”模块——管理面板。RAT客户端可以将用户屏幕截图、记录击键、窃取文档、在受害者计算机上安装其他恶意软件、禁用操作系统功能以及窃取存储在其他本地应用程序中的密码等等,这里仅仅列举了几个功能。

如何确定是否被感染

乌克兰警方没有公布嫌疑人的姓名,但他们发布了关于检测用户是否感染DarkComet的方法,方法如下:

1.同时按住Windows和R键以打开“运行”对话框;

2.输入“cmd”后按确认键;

3.在命令提示符下输入“netstat -nao”后按确认键;

4.在当前连接列表中搜索尝试连接到外部IP地址193.53.83.233、在端口1604或81上连接。

令人“智熄”的操作,乌克兰一黑客落网

如果用户发现他们的计算机正在尝试连接到这样的IP地址,那么他们已经被DarkComet RAT感染了。攻击者可以通过DarkComet RAT连接到用户的计算机以执行命令、进行会话、截取活动窗口的屏幕截图以及执行其他恶意行为。换句话来说,一旦计算机感染了DarkComet RAT,那么用户就将失去大量的敏感信息,而这些信息完全可以被黑客用来恐吓勒索或者窃取资金。

如果被感染,受害者应该重新安装其操作系统; 使用防病毒程序删除DarkComet恶意软件; 或联系专业人士寻求帮助。

犯罪嫌疑人落网

虽然乌克兰警察没有透露有关嫌犯以及他们如何追踪到嫌犯的任何细节,但原因很简单。

在搜索引擎Shodan(Shodan是一个搜索互联网链接设备的搜索引擎,不同于Google、百度这些搜索引擎,用户可以在Shodan上使用Shodan搜索语法查找连接到互联网的摄像头、路由器、服务器等设备信息)中搜索IP地址193.53.83.233,就可以找到这个IP的列表,标记为“DarkComet trojan”命令和控制服务器。

令人“智熄”的操作,乌克兰一黑客落网

最明显的细节是托管这个DarkComet管理面板的IP地址并不由数据中心管理,而是由普通住宅互联网供应商管理,也就是说嫌疑人最有可能在其家用电脑上托管DarkComet服务器。

由于这个操作安全错误,乌克兰警方只需向ISP发送正式请求即可获得该男子的真实姓名和家庭住址。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132857.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code