本文章僅為研究用途,不論是否在暗網上,購毒、買凶、雇用駭客都是違法行為。
上次的暗網日記裡,我跟一個暗網上的賣家買了一款勒索軟體,並且實測給大家看。不過第一次測試的時候其實有觸發Windows內建的防毒程式,沒有成功執行,是我手動將它解除,才再次測試並寫成文章的。由於大部分的Windows使用者都沒有關閉這個功能,所以這款勒索軟體威脅性不大,因為連資料庫大小以及防護力都遠不及付費防毒軟體的內建防毒都能偵測到。
因此,我再次寄信給賣家,質問他為什麼會這樣。幾個小時過後就收到了他的回覆。
原來是我的等級問題(?)
所謂的RAT,就是remote access trojan的縮寫,中文翻譯是遠端存取木馬,通常比勒索軟體更恐怖,因為它能在背景執行,偷取你的密碼、虛擬貨幣,也能透過它把更多惡意軟體傳送到受害者的裝置上,甚至將其變成母體,把惡意軟體散布到更多裝置上。
OSX就是蘋果Mac OS的別稱。Windows Defender、OSX、Android都是專有名詞,沒有大寫開頭看了真的很不舒服。
所以我就買了更貴的版本,寄過來的附件多了一個batch file,名稱是init,所以應該是要先執行它之後再執行主程式。主程式則一樣是.exe,名稱是thursday_v2,但是我不知道是真的跟上一次的程式一樣,或是更過的版本只是多附一個batch file而已。
不同於.exe,batch file是可以看到執行內容的,於是我先點開batch file看看內容。不過因為如果被不當使用(現在這個情況就是)會相當危險,所以這邊不附上截圖。
在執行之前的電腦長這樣,更新與安全性內有安全性設定。
點開之後,確認所有功能都是運作中的後,我執行了那個batch file。執行後只花了約四秒就關閉了,我來不及計時。
於是Windows安全性就被關…欸不對,整個消失了? 這在我的意料之外,因為以前接觸到的類似程式都是透過背景程式反覆關閉Windows Defender的功能,也就是它本身依然存在,但是你只要嘗試打開任何功能就會馬上被強制關閉,就像下面這個影片一樣。
最後執行了主程式,花費24秒,比上次的20秒慢,並沒有像賣家標榜的一樣比較快,不過可能是因為它有迴避防毒軟體或其它額外功能。跟上次不一樣的地方還有不會更換背景。
以上就是這次的惡意軟體「開箱」,如果對暗網上的各種內容感興趣,請持續追蹤我的網站新文!