去年全球企业因勒索软件平均停摆22天。CrySome RAT的开发者显然研究过这个数据——他们没打算让你有机会恢复。
这款用C#编写的恶意程序正在黑市流通,专攻.NET生态的Windows设备。Cyfirma安全团队通过静态与动态分析拆解其代码后发现,它的设计哲学很直白:藏得比系统深,活得比重装久。
把恶意代码写进"系统保险箱"
CrySome的持久化机制踩中了绝大多数用户的认知盲区。它把自己复制到C:\Recovery\OEM——这是Windows恢复分区,普通用户甚至看不到这个目录。
更狠的是修改离线注册表。系统还原时,Windows会读取这个备份配置来重建环境,CrySome就在这里埋了触发器。用户以为的"彻底重装",对它而言只是唤醒信号。
Cyfirma分析师在报告中用了一个少见的评价:"这种级别的持久化工程在野外RAT中极为罕见。"翻译一下:以前只有国家级APT才玩得起这套,现在被做成了标准化模块。
模块架构是CrySome的另一张底牌。启动阶段先加载配置,再根据操作员指令激活特定功能——像乐高积木按需组装,而不是一上来就亮出全部家当。
AVKiller:一份点名7家厂商的暗杀名单
连接C2服务器后,CrySome会立即发送系统画像:用户名、OS版本、运行时长、国家代码、当前窗口标题。这套信息足够让攻击者判断"这条鱼值不值得长期养"。
真正让它从"工具"升级为"平台"的是AVKiller模块。Cyfirma列出的目标清单包括:Windows Defender、卡巴斯基、CrowdStrike、ESET、Avast、SentinelOne——从免费杀软到企业级EDR,覆盖全价位段。
灭口手段有五层:终止进程、禁用服务、拦截安装、污染hosts文件阻断更新、用映像文件执行选项(IFEO)劫持让安全程序永远无法启动。组合拳打完,机器基本裸奔。
HVNC模块则负责"隐形作业"。攻击者能远程操作浏览器、翻文件、点按钮,受害者屏幕上看不到任何异常。配合键盘记录、Chrome系浏览器凭据窃取、摄像头调用、屏幕截图、SOCKS代理横向移动——这不是远控木马,是完整的事后利用框架。
从"能用"到"难杀"的产品思维
CrySome的迭代轨迹很有意思。早期版本(如2.0.0.0)功能相对基础,后续版本逐步加入反虚拟机检测、反调试、混淆加载器等防御规避技术。
这种演进路线像极了正经软件的产品迭代:先跑通MVP,再堆护城河。区别只在于它的护城河,是让你杀不死它。
黑市定价也反映了这套工程投入。据Cyfirma追踪,CrySome采用订阅制+定制开发的双轨模式,核心买家是初始访问经纪人(IAB)——他们专门攻破企业网络,再把"门票"转卖给勒索软件团伙。
这意味着CrySome的受害者往往不是随机散户,而是被精心挑选过的企业目标。恢复分区后门+杀软全灭+隐形桌面,整套组合拳为勒索软件部署争取了数周甚至数月的潜伏窗口。
防御者面对的是一个产品团队
Cyfirma在分析末尾给出了标准建议:网络分段、最小权限原则、EDR部署、员工钓鱼培训。这些都没错,但回避了一个尴尬的事实——当攻击者开始用产品思维做恶意软件,防御方还在用清单思维做安全。
CrySome的开发者显然研究过企业IT的恢复流程。他们知道你会重装系统,所以提前住进恢复分区;他们知道你会查杀进程,所以准备了七种杀软的对策;他们知道你会看屏幕,所以做了隐形桌面。
这不是技术炫技,是用户调研。
企业安全团队现在需要回答的问题是:你的灾难恢复演练,有没有包含"恢复分区被投毒"这个场景?
热门跟贴