Remote utilities как пользоваться пошаговая инструкция

Direct connection

A Direct Connection is established when the Host is directly visible to the Viewer, meaning the Host can be identified by its IP address or hostname (DNS name). This type of connection does not necessitate any intermediary (relay) servers between the Viewer and Host, providing the fastest method to access a remote Host by definition.

Related links: Getting Started, Ports and Port Forwarding

Host

The Host refers to a remote module installed on a target, or remote, PC. This module facilitates both unattended and attended access.

Related links: About Remote Utilities

Internet-ID code

An Internet-ID Code is a 12-digit number assigned to a remote Host. When using an Internet-ID connection, this code serves as the address of the remote computer.

Related links: Getting Started

Full Control and View

The Full Control and View mode permits the viewing of the remote screen, movement of the remote mouse pointer, and sending of clicks or keystrokes. An icon on the mode window toolbar allows for seamless switching between Full Control and View Only modes.

Related links: Connection Modes

Address book

An address book is a structured collection of your remote connections. Each connection corresponds to a specific remote computer and carries unique properties like the destination address, access password (if stored), and color depth. Remote Utilities provides the feature to locally backup and encrypt your address books.

Related links: Address Book

Agent

An Agent is a remote module specifically designed for spontaneous support sessions. It features a unique window that can be personalized with your own logo and text. Notably, the Agent does not require installation or administrative privileges to operate.

Related links: About Remote Utilities

Удалённый доступ позволяет с одного компьютера работать с ресурсами другого ПК. При этом дистанция между ними не имеет никакого значения, поскольку соединение происходит за счёт подключения двух устройств к сети Интернет.

С помощью такого соединения можно решать всевозможные задачи. Это актуально для работы системных администраторов, для помощи родственникам, которые плохо разбираются в компьютерах, без необходимости ехать к ним через весь город, либо вовсе в другой регион или страну.

Примеров, когда удалённый доступ (УД) может оказаться полезным, масса. Здесь вопрос в другом. А именно в том, как именно подключиться и настроить соединение.

Для таких целей существует внушительное количество инструментов. Для каждого из них своя инструкция и особенности настройки.

Популярные решения

К числу программ, способных создать удалённое подключение к другому компьютеру, которые пользуются спросом и популярностью, можно отнести:

• Remote Assistance.
• Remote Desktop.
• Teamviewer.
• Anydesk.
• AeroAdmin.
• Ammyy Admin.
• Remote Utilities.

Именно эти инструменты и будут достаточно подробно рассмотрены.

Следует сразу отметить, что здесь активно будут применяться 2 важных термина:

• Клиент. Это компьютер, через который осуществляется подключение с использованием удалённого доступа;
• Сервер. Это тот самый ПК или ноутбук, к которому и будет происходить подключение.

Разобравшись в короткой терминологии, можно приступать к изучению особенностей работы с разными программами.

Remote Assistance

Один из самых распространённых вариантов того, как можно подключить удалённый доступ к любому другому компьютеру. Это встроенная утилита в операционных системах Windows.

ВАЖНО. Remote Assistance работает только на ОС Windows и позволяет подключать УД только к ПК с ОС Windows.

Программа даёт возможность обойтись без посторонних программ, получить полный доступ к удалённому ПК и организовать между ними текстовый чат. А вот обмен файлов здесь отсутствует.

Со стороны сервера потребуется сделать следующее:

Со стороны клиента нужно также выполнить несколько действий.

От клиента требуется:

• получить и открыть файл;
• вписать присланный пароль;
• получить доступ к экрану удалённого ПК;
• для управления файлами и программами через УД нужно отправить запрос на управление и дождаться его одобрения.

ВНИМАНИЕ. Файлы и пароли одноразовые. При каждом новом подключении их создают заново.

Нельзя сказать, что утилита невероятно удобная. Но поскольку это встроенный инструмент от Microsoft, ему смело можно доверять.

Remote Desktop

Тоже продукт компании Microsoft. С помощью него можно получить удалённый доступ к другому компьютеру.

В отличие от предыдущего инструмента, Удалённый рабочий стол позволяет работать не только с операционной системой Windows, но также и с MacOS, Android и iOS.

Это встроенное программное обеспечение на Windows, с помощью которого можно реализовать УД.

Главное отличие от предыдущего инструмента в том, что здесь компьютер-сервер нельзя использовать во время сеанса удалённого подключения. Он блокируется автоматически до завершения работ.

Но зато в роли клиента может выступать мобильный гаджет или компьютер под управлением MacOS. Плюс есть возможность копировать файлы, используя буфер обмена.

Теперь к вопросу о том, как можно разрешить удалённый доступ к своему компьютеру для другого ПК.

Со стороны сервера потребуется сделать следующее:

• Активировать саму функцию удалённого рабочего стола.
• Узнать параметры публичного и локального IP адреса для своего компьютера.
• Если клиентским ПК управляет другой пользователь, ему потребуется передать данные публичного IP. Плюс потребуется пароль и логин для учётной записи операционной системы.
• На роутере также потребуется настроить перенаправление портов. Такая функция позволит открыть доступ к ПК со стороны других устройств по сети Интернет. Инструкцию ищите в руководстве конкретно для своего маршрутизатора.

Суть в том, чтобы зайти в специальные настройки роутера, создать виртуальный сервер и прописать в его характеристиках локальный IP, а также указать порт 3389.

ВАЖНО. Открытый доступ с помощью перенаправления портов делает ПК более уязвимым.

Со стороны клиента потребуется также запустить утилиту и в открытом окне прописать публичный IP от компьютера-сервера, указать логин и пароль учётной записи.

Выполнив эти операции, пользователь получает полный контроль над другим рабочим столом.

Remote Desktop от Chrome

Ещё один удалённый рабочий стол. Но на сей раз не от Microsoft, а от компании Google.

Один из популярных инструментов, позволяющих настроить стабильный удалённый доступ к другому компьютеру. Работает как на Windows 10, так и на более старых версиях этой ОС.

Сама по себе настройка необходимого удалённого доступа, реализуемого через Интернет, применяется для ПК с Windows 10, 7 и 8. Помимо Windows, подключаться можно к MacOS и Linux. Сама утилита работает на Windows, Linux, Android, iOS и MacOS.

Эту программу можно охарактеризовать как очень простую мультиплатформенную утилиту, способную быстро организовать удалённое подключение.

В случае с ПК-версией это приложение для браузера Google Chrome. Управлять другим ПК можно без внесения каких-либо дополнительных настроек и изменений. Минус в том, что обмен файлами здесь недоступен.

Рабочий удалённый стол от Chrome позволяет управлять несколькими ПК и иными устройствами, связанными одним аккаунтом Google, либо подключаться к другим девайсам без привязки к аккаунту.

Пользоваться программой предельно просто. Со стороны сервера генерируется код, который передаётся клиенту. Последний его вводит, и подключение готово.

Особенность мобильной версии приложения в том, что подключиться с мобильного девайса к ПК можно, а с ПК к смартфону или планшету уже нельзя.

TeamViewer

Также пользователей интересует вопрос о том, как настроить стабильный удалённый доступ к другому компьютеру, используя этот инструмент. На деле сделать УД через TeamViewer не так сложно.

Перед тем как включить и настроить удалённый доступ, необходимо знать, к какому компьютеру вообще возможно подключение.

TeamViewer позволяет работать с устройств и подключаться к другим девайсам, где используются следующие операционные системы:

• Windows.
• MacOS.
• Linux.
• iOS.
• Android.

То есть речь идёт о полноценном кросс-платформенном инструменте.

Объективно это одна из самых популярных программ в своём сегменте. Это во многом можно объяснить способностью работать с несколькими платформами одновременно. Плюс здесь предельно простой принцип управления, масса полезных функций. Сеансы подключения можно даже записать на видео, общаться между собой в голосовых и текстовых чатах, открывать доступ только к определённым выбранным приложениям.

Для подключения между двумя устройства со стороны сервера генерируется пароль и ID, а также он вводится на компьютере клиента.

AnyDesk

В случае с этой программой настройка удалённого доступа к любому другому компьютеру под управлением различных версий ОС Windows, включая Windows 7, по сложности не сильно отличается от предыдущего инструмента.

Даже новичок без проблем разберётся в том, как пользоваться через AnyDesk удалённым доступом и передавать управление другому компьютеру.

Тут речь также идёт о кросс-платформенном приложении, способном работать с компьютерами и мобильными устройствами.

Получить доступ можно с помощью пароля, либо просто по запросу. Фактически клиент может лишь постучаться к серверу, и если тот разрешит войти, подключение будет установлено.

Для настроек предусмотрена отдельная вкладка. Конфигурации подключения можно менять по мере работы с удалённым компьютером или мобильным устройством.

AeroAdmin

Не так уж и редко настройка удалённого доступа к стороннему или собственному компьютеру осуществляется через программу AeroAdmin. Она прекрасно работает на Windows 7 и на других версиях ОС Windows, MacOS и Linux. А вот с мобильными платформами не функционирует.

Программа простая, бесплатная. Причём не только для личного пользования, но и для коммерческих целей. Установки не требует.

Чтобы реализовать включение удалённого доступа по Windows 10 или другой платформе, можно использовать IP адрес, либо же ID компьютера.

Всего предлагается 3 режима для подключения:

• полный контроль над другим ПК;
• просмотр рабочего стола;
• обмен файлами.

Несмотря на кажущуюся простоту, программа на самом деле функциональная и очень полезная для многих пользователей.

Ammyy Admin

Ещё один отличный способ дать удалённый доступ другому пользователю к своему компьютеру, либо получить контроль над иным ПК.

Чтобы открыть тот самый удалённый доступ к собственному компьютеру через Ammyy Admin, потребуется выполнить несколько простых шагов.

Очень простая утилита, также не требующая установки. Для частного применения распространяется на бесплатной основе.

Для подключения используется ID компьютера, либо IP-адрес. При этом подключение с помощью IP возможно при условии нахождения компьютерах в рамках одной локальной сети.

Минусом приложения можно считать тот факт, что работает оно только с устройствами под управлением операционных систем Windows.

Пароль для подключения не требуется. Достаточно лишь получить разрешение со стороны компьютера-сервера. Сервер нажимает кнопку подключиться, а на второй стороне, то есть на стороне клиента, нужно кликнуть «Разрешить».

ВНИМАНИЕ. Эту программу невзлюбили некоторые антивирусные программы. Хотя при скачивании с официального сайта никаких вирусов в приложении нет.

Поэтому при возникновении конфликта между антивирусом и программой удалённого доступа потребуется на время сеанса добавить утилиту в список исключений.

Remote Utilities

Отличная программа, чтобы подключиться и опробовать в деле удалённый доступ к другому ПК.

Приложение бесплатное, имеет несколько интересных функций. Работает за счёт объединения двух ПК, используя при этом Internet ID. Плюс в том, что программа позволяет реализовать управление до 10 ПК.

Со стороны компьютера-сервера потребуется установить программу, а также сообщить собственный ID, а также пароль. А уже клиент вводит эти данные и устанавливает соединение.

Как отключить удалённое подключение

Немаловажным вопросом является то, как удалить созданный удалённый доступ и предотвратить возможные подступы к своему компьютеру.

Есть достаточно подробная инструкция о том, как отключить возможный удалённый доступ к собственному компьютеру. Весь процесс состоит из 3 этапов:

• общий запрет;
• отключение помощника;
• отключение системных служб.

Теперь про каждый шаг подробнее. Это позволит чётко понять, как запретить к собственному компьютеру несанкционированный удалённый доступ, тем самым защитив свои данные.

Общий запрет

Первый шаг, позволяющий запретить удалённый доступ, заключается в общем запрете подключения к компьютеру. То есть на этом этапе отключается возможность для соединения с рабочим столом через встроенный функционал операционной системы Windows.

Но это только первый этап на пути к тому, как защитить собственный компьютер от несанкционированного удалённого доступа.

Помощник

На следующем этапе потребуется заблокировать, то есть отключить помощника.

Именно через удалённого помощника можно в пассивном режиме наблюдать за всеми действиями на удалённом устройстве.

Здесь всё просто. Нужно также открыть свойства системы и в разделе «Удалённый доступ» убрать галочку с пункта, позволяющего подключать удалённого помощника к своему компьютеру. Затем «Применить» и кнопка ОК.

Службы

Чтобы окончательно защититься от нежелательных гостей на своём ПК, дополнительно рекомендуется отключить некоторые службы.

Реализованная за счёт предыдущий действий защита довольно надёжная. Но 100% безопасности не гарантирует, поскольку злоумышленник может получить доступ к компьютеру и изменить соответствующие настройки.

Чтобы уровень безопасности был выше, некоторые системные службы стоит отключить. Для этого нужно:

По аналогии рекомендуется отключить такие службы:

• Telnet;
• WS Managment;
• NetBIOS;
• удалённого помощника;
• удалённый реестр.

Все эти манипуляции выполняются под активной учётной записью администратора.

Удалённый доступ даёт некоторые преимущества, ряд дополнительных возможностей. Но в то же время это потенциальная угроза для личных данных.

А потому следует внимательно относиться к подобному подключению и использовать только проверенные, хорошо себя зарекомендовавшие программы, загруженные исключительно с сайтов разработчиков.

Также внимательно думайте, прежде чем давать доступ другим пользователям. Если вы их не знаете и не доверяете, рисковать не стоит.

Всем спасибо за ваше внимание!

Подписывайтесь, оставляйте комментарии, задавайте интересующие вас вопросы!

Удаленный доступ к рабочему столу в Remote Utilities

Есть множество разнообразных платных и бесплатных программ для удаленного доступа к компьютеру и управления им. Совсем недавно я писал об одной из таких программ, преимуществом которой была максимальная простота для начинающих пользователей — AeroAdmin. В этот раз речь пойдет еще об одном бесплатном инструменте для удаленного доступа к компьютеру — Remote Utilities.

Назвать программу Remote Utilities простой не получится, кроме этого, в ней отсутствует русский язык (есть русский язык, см. ниже) интерфейса, а из операционных систем поддерживаются только Windows 10, 8 и Windows 7. См. также: Лучшие программы для удаленного рабочего стола.

Обновление: в комментариях мне сообщили, что есть эта же программа, но на русском (видимо, просто версия для нашего рынка), с теми же условиями лицензирования — Удаленный доступ RMS. Я ее как-то умудрился пропустить.

Но вместо простоты утилита предлагает широкие возможности, среди которых:

• Бесплатное управление до 10 компьютеров, в том числе и для коммерческих целей.
• Возможность portable использования.
• Доступ по RDP (а не через собственный протокол программы) по Интернету, в том числе за маршрутизаторами и с динамическим IP.
• Широкий набор режимов удаленного управления и подключения: управление и «только просмотр», терминал (командная строка), передача файлов и чат (текстовый, голосовой, видео), запись удаленного экрана, подключение удаленного реестра, управление питанием, удаленный запуск программ, печать на удаленной машине, удаленный доступ к камере, поддержка Wake On LAN.

Таким образом, в Remote Utilities реализован практически исчерпывающий набор действий по удаленному управлению, который только может понадобиться, а пригодиться программа может не только для подключения к чужим компьютерам для оказания помощи, но и для работы с собственными устройствами или администрирования небольшого парка компьютеров. Дополнительно, на официальном сайте программы имеются приложения iOS и Android для удаленного доступа к компьютеру.

Использование Remote Utilities для удаленного управления компьютерами

Ниже — не пошаговая инструкция по всем возможностям удаленных подключений, которые можно реализовать с помощью Remote Utilities, а, скорее, краткая демонстрация, способная заинтересовать программой и ее функциями.

Remote Utilities доступна в виде следующих модулей

• Host — для установки на компьютер, к которому требуется подключаться в любое время.
• Viewer — клиентская часть, для установки на компьютер, с которого будет происходить подключение. Доступен также в portable версии.
• Agent — аналог Host для однократных подключений к удаленному компьютеру (например, для оказания помощи).
• Remote Utilities Sever — модуль для организации собственного сервера Remote Utilities и обеспечения работы, например, в локальной сети (здесь не рассматривается).

Все модули доступны для загрузки на официальной странице https://www.remoteutilities.com/download/. Сайт русской версии Удаленный доступ RMS — rmansys.ru/remote-access/ (для некоторых файлов есть срабатывания VirusTotal, в частности, от Касперского. Чего-то действительно вредоносного в них нет, программы определяются антивирусами как средства удаленного администрирования, что в теории может представлять риск). Про получение бесплатной лицензии программы для использования при управлении до 10 компьютеров— последний абзац этой статьи.

При установке модулей каких-то особенностей нет, разве что для Host рекомендую включить интеграцию с брандмауэром Windows. После запуска Remote Utilities Host попросит создать логин и пароль для подключений к текущему компьютеру, а после этого отобразит ID компьютера, который следует использовать для подключения.

На компьютере, с которого будет осуществляться удаленное управление, устанавливаем Remote Utilities Viewer, нажимаем «New Connection», указываем ID удаленного компьютера (при осуществлении подключения также будет запрашиваться пароль).

При подключении через Remote Desktop Protocol помимо ID потребуется также ввести учетные данные пользователя Windows, как при обычном подключении (также в настройках программы можно сохранить эти данные для автоматического подключения в дальнейшем). Т.е. ID используется только для реализации быстрой установки соединения RDP через Интернет.

После создания подключения, удаленные компьютеры добавляются в «адресную книгу» из которой в любой момент вы можете осуществить нужный тип удаленного подключения. Представление о доступном списке таких подключений можно получить из скриншота ниже.

Те возможности, которые я успел опробовать, успешно работают без каких-либо нареканий, так что, хоть и не изучал программу очень пристально, могу сказать, что она работоспособна, а функционал более чем достаточен. Так что, если вам требуется достаточно мощный инструмент удаленного администрирования, рекомендую присмотреться к Remote Utilities, возможно, что это то, что вам требовалось.

В заключение: сразу после установки Remote Utilities Viewer имеет пробную лицензию на 30 дней. Для получения неограниченной по сроку действия бесплатной лицензии, перейдите на вкладку «Help» в меню программы, нажмите «Get License Key for free», а в следующем окне нажмите «Get Free License», заполните поля Имя и адрес электронной почты для активации программы.

Источник

Без шума и пыли: разбор RAT-троянов на базе Remote Utilities

В ноябре 2020 года вирусная лаборатория «Доктор Веб» зафиксировала рассылку фишинговых писем корпоративным пользователям. Злоумышленники попытались применить классический метод социальной инженерии, чтобы заставить потенциальных жертв открыть вложения. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. При неблагоприятном стечении обстоятельств, компьютеры сотрудников были бы доступны для удаленного управления без каких-либо визуальных признаков работы программы. В статье мы рассмотрим механизмы распространения и заражения используемых RAT-троянов.

Сценарий атаки

Обнаруженные нами образцы можно разделить на 2 группы.

• Самораспаковывающиеся архивы, которые содержали оригинальные исполняемые файлы Remote Utilitites и вредоносный модуль, загружаемый посредством DLL Hijacking. Этот модуль предотвращает отображение окон и иных признаков работы программы, а также оповещает злоумышленника о ее запуске и установке. Детектируется Dr.Web как BackDoor.RMS.180.
• Самораспаковывающиеся архивы, которые содержали оригинальный установочный модуль Remote Utilities и заранее сконфигурированный MSI-пакет, обеспечивающий тихую установку программы для удаленного управления и последующую отправку сообщения о готовности к удалённому подключению на заданный злоумышленником сервер. Детектируется Dr.Web как BackDoor.RMS.181.

Обе группы вредоносного ПО объединяет не только используемый инструмент — Remote Utilities, — но и формат фишинговых писем. Это достаточно грамотно составленные и относительно объемные сообщения на русском языке, использующие потенциально интересную для получателя тему. Вредоносная нагрузка защищена при помощи пароля, а сам пароль в виде TXT-файла находится рядом и представляет собой дату отправки письма.

Пример письма с вредоносным вложением, использующим DLL Hijacking:

В приложенном архиве находится защищенный RAR-архив и текстовый файл с паролем.

В целях конфиденциальности отправляемого вложения установлен автоматический пароль: 02112020.

В архиве находится дроппер в виде самораспаковывающегося RAR’а, внутри которого лежит сам BackDoor.RMS.180.

Ниже приведен пример письма с вложением, использующим MSI-пакет.

Помимо архива с вредоносной нагрузкой (BackDoor.RMS.181) и файла с паролем здесь находятся документы-пустышки.

В связи с корпоративной политикой безопасности данное вложение защищено кодом доступа: 12112020.

В ходе исследования мы также обнаружили образец фишингового письма, содержащего ссылку на дроппер, который запускает установку утилиты Remote Utilities из настроенного MSI-пакета (детектируется Dr.Web как BackDoor.RMS.187). Здесь задействован несколько иной механизм распространения полезной нагрузки.

«CV_resume.rar» является ссылкой на взломанный сайт, откуда происходит редирект на другой ресурс для загрузки вредоносного архива с BackDoor.RMS.187.

Анализ сетевой инфраструктуры, используемой злоумышленниками для распространения BackDoor.RMS.187, позволил найти еще несколько скомпрометированных сайтов, а также образец трояна Trojan.Gidra. По нашим данным, Trojan.GidraNET.1 использовался для первичного заражения системы при помощи фишингового письма с последующей загрузкой бэкдора, который скрыто устанавливал Remote Utilties.

Подробный разбор алгоритмов работы обнаруженного ПО читайте в вирусной библиотеке на нашем сайте. Ниже мы кратко рассмотрим эти вредоносные программы.

BackDoor.RMS.180

Троян-бэкдор, написанный с использованием компонентов программы Remote Utilities. Основной вредоносный модуль загружается посредством DLL Hijacking.

Самораспаковывающийся архив запускается скриптом:

Состав самораспаковывающегося дроппера:

• libeay32.dll (f54a31a9211f4a7506fdecb5121e79e7cdc1022e), чистый;
• ssleay32.dll (18ee67c1a9e7b9b82e69040f81b61db9155151ab), чистый;
• UniPrint.exe (71262de7339ca2c50477f76fcb208f476711c802), подписан действительной подписью;
• WinPrint.exe (3c8d1dd39b7814fdc0792721050f953290be96f8), подписан действительной подписью;
• winspool.drv (c3e619d796349f2f1efada17c9717cf42d4b77e2) — основной вредоносный модуль, обеспечивающий скрытую работу Remote Utilities.

Таблица экспортируемых функций winspool.drv:

Функции, отсутствующие в оригинальном модуле winspool.drv и не несущие функциональной нагрузки:

Экспорты с реальными именами содержат переходы к загружаемым в дальнейшем оригинальным функциям из легитимной библиотеки.

Некоторые API-функции выполняются через указатели на функции-переходники:

Функция get_proc ищет необходимую API-функцию разбором таблицы экспорта модуля, затем помещает найденный адрес вместо функции-переходника.
На первом этапе загружает подмененную библиотеку. Имя не зашито жестко, поэтому загружает библиотеку . Затем проходит свою таблицу экспорта и загружает оригинальные API-функции по ординалам, пропуская недействительные функции:

Затем бэкдор проверяет, в контексте какого исполняемого файла он работает. Для этого проверяет значение IMAGE_NT_HEADERS.OptionalHeader.CheckSum основного исполняемого модуля:

• значение равно 0x2ECF3 — первичный запуск с WinPrint.exe;
• значение равно 0xC9FBD1 — работа в контексте UniPrint.exe.

Если запущен WinPrint.exe, бэкдор создает процесс UniPrint.exe и завершает работу.

Когда запущен UniPrint.exe, бэкдор переходит к выполнению основных функций. Проверяет, имеет ли пользователь права доступа администратора. Затем устанавливает права доступа на директорию с модулем:

После этого записывает параметры General и Security в ключ реестра HKCUSOFTWAREWDMPrint и подготавливает значение параметра InternetID с помощью форматной строки.

Затем бэкдор создает скрытые окна MDICLIENT и RMSHDNLT:

Далее приступает к перехвату API-функций. Для этого использует библиотеку MinHook.

Подробная таблица с описанием перехватываемых функций находится на странице BackDoor.RMS.180 на нашем сайте.

Сетевая активность бэкдора реализована следующим образом. Вначале по дескриптору окна TEdit с помощью функции GetWindowTextA бэкдор получает InternetID, необходимый для удаленного подключения. Затем формирует GET-запрос вида:

Затем создает TCP-сокет. Проверяет значение глобальной переменной, в которой хранится порт для подключения с использованием протокола SSL (в рассматриваемом образце равен нулю). Если порт не равен нулю, то соединение выполняется по SSL посредством функций библиотеки SSLEAY32.dll. Если порт не задан, бэкдор подключается через порт 80.
Далее отправляет сформированный запрос. Если ответ получен, то ожидает в течение минуты и повторно отправляет запрос с InternetID. Если ответа нет, то повторяет запрос через 2 секунды. Отправка происходит в бесконечном цикле.

BackDoor.RMS.181

Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами удаленного управления, созданный с помощью MSI-конфигуратора из состава Remote Utilities Viewer. Распространялся в составе самораспаковывающегося 7z-дроппера (52c3841141d0fe291d8ae336012efe5766ec5616).

• host6.3_mod.msi (заранее настроенный MSI-пакет);
• installer.exe (5a9d6b1fcdaf4b2818a6eeca4f1c16a5c24dd9cf), подписан действительной цифровой подписью.

Скрипт запуска самораспаковывающегося архива:

После распаковки дроппер запускает файл installer.exe, который, в свою очередь, запускает установку заранее настроенного MSI-пакета. Установщик извлекает и скрыто устанавливает Remote Utilities. После установки отправляет сигнал на управляющий сервер.

MSI-пакет содержит все необходимые параметры для тихой установки Remote Utilities. Установка выполняется в Program FilesRemote Utilities — Host в соответствии с таблицей Directory.

В соответствии с таблицей CustomAction установщик msiexec.exe запускает основной компонент пакета Remote Utilities rutserv.exe с различными параметрами, которые обеспечивают тихую установку, добавление правил сетевого экрана и запуск службы.

Параметры и настройки подключения заносятся в ключ реестра HKLMRemote Utilitiesv4ServerParameters. Значения параметров содержатся в таблице Registry:

Параметр CallbackSettings содержит адрес сервера, на который отправляется InternetID для прямого подключения.

BackDoor.RMS.187

Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами для скрытой установки и запуска Remote Utilities. Распространялся в составе вредоносного RAR-архива посредством фишинговой рассылки.

Запускается при помощи дроппера, который хранит установочный архив в секции ресурсов под именем LOG. Дроппер сохраняет MSI-пакет в директорию %TEMP% под именем KB8438172.msi и затем запускает с помощью установщика msiexec.exe. В дроппере находится путь к исходнику — C:UsersKelevraDesktopSourceProject1.vbp.

Бэкдор сообщает о готовности к подключению, отправляя сообщение на адрес cerbe[@]protonmail[.]com.

Этот образец примечателен способом распространения. На электронную почту жертвы приходит фишинговое письмо со ссылкой, маскирующейся под нужное пользователю вложение.

Ссылка на загрузку вложения ведет по адресу http[:]//ateliemilano[.]ru/stat/amsweb.php?eTmt6lRmkrDeoEeQB6MOVIKq4BTmbNCaI6vj%2FvgYEbHFcfWecHRVZGMpkK%2BMqevriOYlq9CFe6NuQMfKPsSNIax3bNKkCaPPR0RA85HY4Bu%2B%2B6xw2oPITBvntn2dh0QCN9pV5fzq3T%2FnW270rsYkctA%2FwdvWH1bkEt2AdWnyEfaOwsKsSpyY3azVX0D%2BKOm5.

Затем с этого адреса происходит редирект на адрес https[:]//kiat[.]by/recruitment/CV_Ekaterina_A_B_resume.rar, по которому происходит загрузка вредоносного архива.

ateliemilano[.]ru и kiat[.]by — существующие сайты, при этом второй сайт принадлежит кадровому агентству. По нашим сведениям, они неоднократно использовались для загрузки троянов, а также для переадресации запросов на их загрузку.

В ходе исследования были найдены и другие скомпрометированные сайты, которые использовались для распространения аналогичных дропперов с MSI-пакетами. На некоторых из них устанавливались редиректы аналогичного формата, как на сайте ateliemilano[.]ru. С некоторых ресурсов предположительно происходила загрузка троянов, написанных на
Visual Basic .NET (Trojan.GidraNET.1), которые, в числе прочего, загружают вредоносные дропперы на скомпрометированные компьютеры.

Trojan.GidraNET.1

Исследованный образец трояна распространялся через скомпрометированные сайты. Он предназначен для сбора информации о системе с ее последующей передачей злоумышленникам по протоколу FTP, а также для загрузки вредоносного дроппера с MSI-пакетом для установки Remote Utilities.

Основная функциональность находится в методе readConfig, вызываемом из Form1_Load.

В начале своей работы собирает о системе следующую информацию:

• внешний IP-адрес;
• имя пользователя;
• имя ПК;
• версия ОС;
• сведения о материнской плате и процессоре;
• объем оперативной памяти;
• сведения о дисках и разделах;
• сетевые адаптеры и их MAC-адреса;
• содержимое буфера обмена.

Полученную информацию сохраняет в файл, затем делает снимок экрана.

Информацию о системе отправляет по протоколу FTP на сервер ateliemilano[.]ru.

В коде трояна зашиты логин и пароль от FTP-сервера. Для каждого зараженного компьютера создается отдельная директория.

После отправки информации загружает и запускает файл с другого скомпрометированного сервера.

Файлы, скачиваемые аналогичными образцами, представляют собой дропперы, написанные на Visual Basic, содержащие MSI-пакеты для скрытой установки Remote Utilities, такие как BackDoor.RMS.187.

В исследованном образце был найден путь к PDB-файлу: C:UsersKelevraDesktopLast Gidra + PrintScreen + Loader_ MainGidraobjDebugGidra.pdb. Имя пользователя Kelevra совпадает с именем пользователя в пути к файлу проекта в дроппере BackDoor.RMS.187: C:UsersKelevraDesktopSourceProject1.vbp. В аналогичных образцах встретились и другие варианты.

По найденной нами информации можно предположить, что в 2019 году автор Trojan.GidraNET.1 использовал этот троян для первичного заражения через фишинговое письмо с последующей загрузкой бэкдора, скрыто устанавливающего Remote Utilties.

Заключение

Бэкдоры на базе утилит для удаленного администрирования остаются актуальной угрозой безопасности и до сих пор применяются для атак на корпоративный сектор. В свою очередь фишинговые письма являются основным средством доставки полезной нагрузки на заражаемые компьютеры. Отличительная черта вредоносных вложений — архивация полезной нагрузки с использованием пароля, что позволяет письму преодолеть встроенные в почтовый сервер средства защиты. Другой особенностью является наличие текстового файла с паролем к поддельному архиву. Кроме того, использование вредоносной библиотеки и атаки DLL Hijacking обеспечивает скрытое функционирование ПО для удаленного управления на скомпрометированном устройстве.

Источник