Adwind RAT是一种跨平台、多功能的恶意软件程序，可以运行在任何支持Java平台的环境中，它能够通过后门进入到受害者的电脑中，提取数据和远程控制。截止2017年3月，黑客利用这个后门程序已经对100个国家和地区的1500个企业和组织实施了攻击，攻击影响了多个工业领域。

早在2012年初，Adwind RAT首次被发现，专家一开始怀疑它是Frutas RAT，后来随着新证据的出现，它又被命名为AlienSpy、Frutas、Unrecom、Sockrat、JSocket和jRat，趋势科技把检测到的Adwind命名为JAVA_ADWIND。

目前随着Adwind侵入的操作系统（Windows，Mac OSX，Linux和Android）越来越广泛，黑客们的攻击目标和使用的技术也越来越多样化，他们的最终目的都是想多从受害者那里捞点钱。

最近Adwind又重新活跃了，这次的主要攻击目标是针对航空航天领域的企业，其中瑞士，乌克兰，奥地利和美国是受影响最大的四个国家。

Adwind的重新活跃

事实上，自今年年初以来Adwind的活跃度就一直在稳步上升。根据趋势科技的统计，从2017年1月的5286次攻击，上升至6月份117649次。值得注意的是，2017年5月至6月检测到的JAVA_ADWIND数量增加了107％，这表明黑客正在积极传播Adwind。

Adwind具有多种攻击功能，包括收集用户键盘输入内容、窃取缓存的密码、从网页表单中抓取数据、截屏、通过网络摄像头拍照和录制视频、通过麦克风录音、传输文件、收集系统和用户信息、窃取加密货币钱包密匙、管理手机短息以及窃取VPN证书。

Adwind除了通过大规模的垃圾邮件进行传播，也被用于针对性攻击甚至将受感染的设备转变为僵尸网络。2015年8月，Adwind被发现同一起网络间谍攻击有关，此外Adwind还被用于针对新加坡银行和丹麦企业的攻击。经过对Adwind RAT所涉及的攻击事件进行调查后，我们发现这些针对性攻击只是其中一小部分。

Adwind以其很强的跨平台适应性而闻名，比如在2014年趋势科技就发现了一个Android版本的Adwind，此时它已经被添加一个加密的安全性挖掘功能，另外黑客们也可以根据自己的需要自定义Adwind的功能，下图就是检测到的2017年1月至6月的JAVA_ADWIND以及Adwind的感染链条。

6月份的两大波垃圾邮件攻击

趋势科技在2017年6月7日检测到第一波使用不同网址将受害者引导到配有间谍软件功能的.NET编写的Adwind。第二波在6月14日被检测到，这次黑客使用不同的域托管其恶意软件以及命令和控制（C＆C）服务器。这两大波攻击显然都采用类似的社会工程策略，来诱骗受害者点击恶意网址，从而发动攻击。

比如，垃圾邮件的发送人会伪装成地中海游艇经纪人协会（MYBA）宪章委员会的主席而且主题也是“2017年的变化 – MYBA宪章协议”，以便让受害者毫不怀疑地打开此邮件。黑客会使用伪造的发件人地址（info[@]myba[.]net)）和一个看似合法的内容来欺骗受害者点击恶意URL，下图就是发送到C＆C服务器的信息和垃圾邮件。

Adwind的攻击链分析

恶意URL将删除程序信息文件（PIF），由于 PIF包含有关Windows如何运行MS-DOS应用程序的信息，并且可以像任何可执行文件（EXE）一样正常启动。该文件以.NET编写，用作下载程序，该文件产生的过程首先是要修改系统证书来启动感染链。

研究人员跟踪恶意PIF文件（TROJ_DLOADR.AUSUDT）的URL，发现它还包含各种网络钓鱼和垃圾邮件相关的HTML文件。这些可能是受害者转移到恶意PIF文件的着陆页，下图就是下载程序通过调用Windows API来尝试修改系统证书的过程以及成功修改的证书。

证书被感染后，将从以下发现的域中提取Java EXE，动态链接库（DLL）和7-Zip安装程序，作为垃圾邮件操作员滥用的文件共享平台：

hxxps://nup[.]pw/DJojQE[.]7z
hxxp://nup[.]pw/e2BXtK[.]exe
hxxps://nup[.]pw/9aHiCq[.]dll

安装程序具有包装功能，其通常由RAT用于调用附加例程而不占用计算资源，经过分析，包装器采用Java ARchive文件格式（JAR），趋势科技将其称为jRAT-wrapper（JAVA_ADWIND.JEJPCO），它将连接到C＆C服务器，并在运行时删除Adwind。

基于jRAT-wrapper的导入标题，它似乎有能力检查受感染系统的互联网访问。另外，它还可以执行反射检查，检查Java中的动态代码生成。这样程序员就能够在运行时动态检查，调用和实例化属性和类。而对于黑客来说，可以滥用传统杀毒解决方案的静态分析。下图就是下载包装器（jRAT-wrapper）的PIF文件代码，利用它检索有效载荷

下图就是垃圾邮件操作员滥用的文件托管服务器的域nup[.]pw

下图是jRAT-wrapper中混淆的Java类

下图是jRAT-wrapper的导入标题

下图专家们在jRAT-wrapper中反编译的字节码

jRAT-wrapper还尝试连接到另一个C＆C IP地址——174[.]127[.]99[.]234:1033。 jRAT-wrapper还使用Visual Basic脚本（VBS）来收集系统的指纹，特别是安装的杀毒（AV）产品和防火墙。它也被编码为在User Temp目录中删除并执行JAR文件，并将恶意Java库复制到Application Data文件夹。然后，它将自己的副本放在当前用户目录中，并创建一个持久性自动运行注册表。

但是，在分析过程中，由于174[.]127[.]99[.]234:1033地址已经被关闭，所以研究人员只能获得有限的信息。下图就是收集受感染系统配置的恶意VBS文件和Adwind的功能属性：

安全研究员Michael Helwig对jRAT-wrapper的研究https://www.codemetrix.net/decrypting-adwind-jrat-jbifrost-trojan/帮助趋势科技的研究人员解密了有效载荷的属性。研究人员分析的样本的配置文件表明，网络流量被设计为被劫持到代理监听环回地址127[.]0[.]0[.]1:7777。

但是，因为jRAT-wrapper尝试连接的C＆C服务器已经无法访问，所以无法在分析期间记录任何代理设置。但研究人员推断出，这个C＆C服务器是攻击者有意关闭的。一旦攻击者在受感染的系统中成功完成了他们想要的功能，就可以关闭它们来防止研究人员对其的进一步分析，另外，托管服务或 ISP实际上也可能被滥用。

据此，研究人员推断成功的C＆C通信需要C＆C服务器将代理设置更改为受害者的，下图就是Adwind配置文件的一部分：

如何预防Adwind的跨平台攻击

Adwind是一个跨平台的基于Java的恶意软件，也就是说，预防Adwind的跨平台攻击，需要一种涵盖网关，端点，网络，服务器和移动设备的多层安全方法。除此之外，系统管理员和信息安全专业人员以及使用Java的开发人员也应采用最佳做法来使用和保护Java，并定期保持修补和更新。

由于Adwind的主要感染途径是垃圾邮件，所以保护电子邮件网关以缓解使用电子邮件作为系统和网络入口点的威胁，可以使用阻止恶意URL的垃圾邮件过滤器。

Adwind的攻击链中的一个关键环节是诱骗用户打开垃圾邮件，所以在点击之前要仔细观察，在打开未知或未经请求的电子邮件时要更谨慎。

趋势科技解决方案

趋势科技终端解决方案可通过检测恶意文件和垃圾邮件以及阻止所有相关恶意URL来保护用户和企业免受这些威胁。趋势科技Deep Discovery™具有电子邮件检测层，可通过检测恶意附件和URL来保护企业。

IOC：

与Adwind / jRAT有关的文件和网址：

hxxp://ccb-ba[.]adv[.]br/wp-admin/network/ok/index[.]php

hxxp://www[.]employersfinder[.]com/2017-MYBA-Charter[.]Agreement[.]pif

hxxps://nup[.]pw/e2BXtK[.]exe

hxxps://nup[.]pw/Qcaq5e[.]jar

相关哈希值：

3fc826ce8eb9e69b3c384b84351b7af63f558f774dc547fccc23d2f9788ebab4 (TROJ_DLOADR.AUSUDT)

c16519f1de64c6768c698de89549804c1223addd88964c57ee036f65d57fd39b (JAVA_ADWIND.JEJPCO)

97d585b6aff62fb4e43e7e6a5f816dcd7a14be11a88b109a9ba9e8cd4c456eb9 (JAVA_ADWIND.AUJC)

705325922cffac1bca8b1854913176f8b2df83a70e0df0c8d683ec56c6632ddb (BKDR64_AGENT.TYUCT)

相关C＆C服务器：

174[.]127[.]99[.]234 Port 1033

hxxp://vacanzaimmobiliare[.]it/testla/WebPanel/post[.]php