远程控制-Farfli远控木马

威胁描述：

Farfli是一种运行于Windows系统的木马程序。该恶意代码通过创建服务方式自启。受此恶意代码感染的计算机可以被用作DDoS攻击

Farfli家族木马的最新出现时间约在2007-2008年间，并且作者将源代码通过某种途径开源于互联网，导致各黑产组织在源代码的基础上衍生出诸多变种，以致Farfli家族木马达到了“泛滥成灾”的态势。据统计，一般家族的RAT木马年新增量在4000个左右，通过安天病毒库查询Farfli家族样本，2017全年其木马新增量达到了12,538个，远高于普通RAT木马的新增量。在这12,538个木马中，预计提取并去重后的C2（僵尸网络控制节点）大概在1600个左右，且分布于全球各地控制着难以估量的“肉鸡”。

Farfli家族木马可实现对“肉鸡”设备进行文件管理、键盘记录、远程桌面控制、系统管理、视频查看、语音监听、远程定位等远程操纵的高威胁功能。为了有效防止木马被杀毒软件查杀和准确获取“肉鸡”设备所使用的杀毒软件工具信息，Farfli家族木马还具备对“肉鸡”设备系统的查毒工具枚举查找和清除功能。Farfli家族木马开发者为了隐藏C2，使用多种自定义和公开对称加密算法将C2信息加密并硬编码存放在木马中。为便于功能完善与维护，Farfli家族木马将核心功能分割成独立模块并加密存放于木马中。为防止网络流量检测设备识别并拦截，Farfli家族木马对“肉鸡”与C2间的通信数据进行了加密处理传输。

核心恶意功能：

Farfli家族属于RAT类型木马，可实现对“肉鸡”设备文件管理、键盘记录、远程桌面控制、系统管理、视频查看、语音监听、远程定位等远程操纵功能（如图3-10）。攻击者可凭借这些功能集合对受害者“肉鸡”设备实现高级可持续性威胁，因此，Farfli家族木马对互联网安全存在极大的威胁隐患。

影响范围：

Farfli木马系统兼容性强，可兼容NT、Vista、XP、Win7、Win8、Win10、Server2003、Server2008、Server2012、Server2016等Windows系列多个版本系统。这也是Farfli家族工具长期流传于黑产之间却未衰退的原因。

传播方式：

1. Spam传播

攻击者通常会结合Spam类型僵尸网络，将Farfli的木马伪装成Spam的附件，向海量邮箱发送垃圾邮件，诱使用户下载并运行木马，即非定向的网络钓鱼攻击。使用垃圾邮件进行“鱼叉”攻击的方式对目标群体进行渗透攻击一直是攻击者比较青睐的APT攻击方式之一，国外“APT-TOCS”、“蜻蜓”、“白象”、“草原灰熊”等组织就经常使用“鱼叉”方式对目标群体进行APT攻击。

1. 僵尸网络传播

通过已部署的僵尸网络所具备的样本下载功能，对已有“肉鸡”下发样本下载的远程指令，快速下载存放在放马站点的Farfli木马。目前在国内这种传播方式比较盛行，因为其可以快速继承整个僵尸网络已有的“肉鸡”。当攻击者发觉C2暴露时，在隐藏自身的同时又希望能继续掌控目前的僵尸网络，该手法也便成为了攻击者们重建C2的首选。

1. 捆绑传播

捆绑传播是国内黑客组织一直以来比较青睐的僵尸网络拓展手法之一。攻击者通常将Farfli家族木马与正常的游戏软件等打包在一个安装包中，然后投放到互联网上的软件共享或推广平台中，假冒正常软件诱使用户下载并安装捆绑有Farfli家族木马的安装包，使用户设备沦为“肉鸡”。捆绑传播不仅能蒙骗互联网用户，且通过捆绑在具有数字签名及安全证书的软件上，能有效绕过杀毒软件的查杀。

1. 自动化漏洞利用

自动化批量IP网段漏洞扫描已经是近年来比较盛行的木马传播感染方式，特别是在2017年4月份的“永恒之蓝”漏洞和Struts2系列漏洞被相继爆出后，地下网络黑产开始流传诸多利用上述漏洞实现的自动化批量“抓鸡”工具，大量感染Farfli家族木马。自动化漏洞利用工具的出现，使各黑产组织控制“肉鸡”量得到了质的提升。