当谈及跨平台后门时，Adwind可以说是最受欢迎的远程访问工具（RAT）。然而，在过去的两年里，一个自称QUA R＆D的地下组织一直在致力于开发和改进类似的Malware-as-a-Service（MaaS）平台，以至于他们现在已经成为Adwind的主要竞争对手。实际上，QUA R＆D的RAT（以Qrypter之名出售）常常被安全社区误认为是Adwind。

简述

Qrypter是基于Java的RAT，它使用基于TOR的命令和控制（C2）服务器。它于2016年3月首次推出，有多个名称：Qarallax、Quaverse、QRAT和Qontroller。

2016年6月，该恶意软件被用于针对在瑞士申请美国签证的个人，从而导致该家族首次涉足安全行业。

如今，Qrypter继续崛起，通常通过恶意电子邮件（如下所示）进行传播。

虽然Qrypter通常用于较小的攻击，每次行动只发送几百封电子邮件，但它影响了全球许多组织。在2018年2月，我们追踪了三个与Qrypter有关的行动，共计影响了243个机场。下图显示了这些攻击行动中收件人顶级域名的细分情况：

分析

执行后，Qrypter在％Temp％文件夹中以随机文件名释放两个VBS文件并执行。这些脚本用于收集受害者PC上的所有防火墙和防病毒产品的详细信息：

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")Set colItems = oWMI.ExecQuery("Select * from FirewallProduct")For Each objItem in colItemsWith objItemWScript.Echo "{""FIREWALL"":""" & .displayName & """}"End With Next
ASCII Strings:=====================Set oWMI = GetObject("winmgmts: impersonationLevel=impersonate\\.\root\SecurityCenter2")Set colItems = oWMI.ExecQuery("Select from AntiVirusProduct")For Each objItem in colItemsWith objItemWScript.Echo """AV"":""" .displayName End With

然后它执行一个.REG文件，该文件也以随机文件名释放在％Temp％文件夹。它会降低系统的整体安全设置，并阻止执行取证和安全相关的进程。此外，通过运行Windows taskkill命令，相同的进程随后被恶意软件终止。

它自删除并创建以下注册表作为自启动机制：

HKCU\Software\Microsoft\Windows\CurrentVersion\Run{random strings} "%AppData%\Oracle\bin\javaw.exe" -jar \"%USERPROFILE%\{random strings}\{random strings}.txt

最后，它连接到基于TOR的命令和控制服务器vvrhhhnaijyj6s2m .onion.top。作为后门插件，Qrypter能够执行以下后门功能，包括：

· 远程桌面连接

· 网络摄像头访问

· 文件系统操作

· 安装其他文件

· 任务管理器控制

商业模式

与Adwind类似，Qrypter月租80美元，可以用PerfectMoney，Bitcoin-Cash或Bitcoin支付。客户还可以支付三个月或一年的折扣价格订阅。据悉，收取Qrypter订阅付款的旧比特币地址总共收到1.69 BTC。撰写本文时，大约为16,500美元（尽管考虑到比特币的波动性，这种情况会迅速发生变化）。

 

值得注意的是，这只能揭示与QUA相关的一个加密货币地址的收入，所有钱包和货币的总收入可能会更高。

为向客户提供支持，QUA R＆D开办了一个名为“黑与白”的论坛，讨论与Qrypter MaaS相关的任何事情。该论坛目前有2,325名注册会员：

该论坛的内容揭示了QUA R＆D如何运作以及他们努力让客户满意所做的努力。例如，管理员定期创建线程来通知并向客户保证他们目前以5美元出售的加密服务完全未被反病毒供应商检测到（FUD）。如果客户不满意，可以退货：

事实上，确保他们的产品完全无法检测是该组织的主要优先事项之一，这就可以解释为什么即使经过近两年时间，Qrypter基本上仍未被反病毒供应商检测到。

虽然论坛主要针对Qrypter的客户，但它也可以吸引潜在的经销商。向经销商提供折扣代码（就像合法企业一样），这有助于提高Qrypter在地下圈子中的知名度：

相同的原因，老版本的RAT免费提供给客户。

有趣的是，破解竞争对手的产品似乎是QUA R＆D策略的另一部分。下面的帖子显示管理员宣布他们已经破解了未知RAT。这大概是为了对其竞争生成其他类型的FUD（即“恐惧，不确定性和怀疑”）。

类似的帖子表明，即使在早期，QUA研发部门也认为JBifrost（Adwind的别名）是他们的主要竞争对手，并采取了类似的措施来摆脱潜在客户。

总结

本文强调了QUA R＆D在跨平台MaaS业务中取代Adwind的决心。随着两年的运营和论坛中2K以上的注册用户，看起来他们在地下圈子中越来越受到关注。

虽然Qrypter MaaS价格相对便宜，但QUA R＆D偶尔会发布破解竞争对手的产品，这可能会使任何人都可以免费获得有效的恶意软件，从而以指数级的速度增加野外攻击。然而，通过了解QUA R＆D等网络犯罪企业如何运作，我们更有能力制定防御策略并预测其未来的发展。

IoC

Qrypter SHA-256

445a73d4dc4c76b73d35233b2bfba3ee178eb2605def1542c2267375db1ee24c

Qrypter C2s

vvrhhhnaijyj6s2m[.]onion[.]topbuzw55o32jgyznev[.]onion[.]to