NjRAT也称为Bladabindi,是一种远程访问木马,最早出现于2013年,并迅速成为最流行的恶意软件家族之一。它将动态DNS用于命令和控制(CC)服务器,并使用自定义TCP协议通过可配置端口进行通信。
NjRAT是基于微软开发的。NET framework,并且和其他很多rat一样,可以完全控制被感染的系统,为远程攻击者提供一系列功能。此外,njRAT还使用了多种。NET混淆工具,这使得反病毒解决方案的检测非常困难,并阻碍了安全研究人员的分析过程。
njRAT之所以能够在相对较短的时间内超越其他RAT,迅速成为最受欢迎的恶意软件家族之一,是因为它采用了插件机制,这意味着其开发者可以通过使用不同的插件来扩展新的木马功能。接下来,我们将在下面介绍一个名为“njRAT Lime Edition”的njRAT木马新变种。
新的变体具有多种功能。这种名为“njRAT Lime Edition”的njRAT木马新变种是由美国网络安全公司Zscaler发现的。该变型包括以下功能:
勒索软件
比特币盗窃
键盘录音
过程杀手
通过USB驱动器进行自我复制
窃取密码
锁定屏幕
分布式拒绝服务(DDoS)攻击
以下是njRAT Lime Edition配置文件的截图:
通过这个配置文件的截图,我们可以发现一些相对重要的信息:
它被配置为使用文件名exe放入受感染系统的临时文件夹中。
版本:7.3
C&C服务器域名:duckdns。]组织
端口号:1700
勒索软件模块该变种的勒索软件功能模块会使用AES-256对称算法对扩展名为的文件进行加密。lime,这意味着加密和解密密钥是相同的。
收到命令后,它将尝试加密以下文件夹中的文件:
特殊文件夹。LocalApplicationData
特殊文件夹。应用数据
特殊文件夹。程序文件
特殊文件夹。桌面
特殊文件夹。收藏夹
特殊文件夹。个人的
特殊文件夹。我的音乐
特殊文件夹。我的图片
特殊文件夹。最近的
Zscaler表示,njRAT Lime版的勒索软件功能模块几乎包含了Lime勒索软件的所有功能。这个勒索软件是安全研究人员在2017年12月6日发现的。除了能够加密文件,它还提供后门功能,允许攻击者访问受感染的主机。
比特币盗窃功能模块的变种在收到searchwallet的命令后,会在受害者买卖比特币并使用比特币进行支付时,试图收集被感染主机上运行的进程,跟踪受害者的比特币钱包。
我们知道,像这样的数字钱包通常用于存储数字货币,可以连接到银行账户、借记卡或信用卡,以便将数字货币转换为当地货币。这个变种关注的比特币钱包如下:
比特币核心(也称为比特币-qt)
比特币。]com
比特币轻型钱包(Electrum)
主机信息收集功能模块的变体也将使用Windows WMI查询服务(如“从AntivirusProduct选择*和“从Win32 _ video控制器选择*”)来检查虚拟机(VM)或沙盒环境。它可以收集系统信息并将其发送给CC,例如:
系统名称
用户名
Windows版本
系统架构(64位或32位)
网络摄像头(是/否)
活动窗口
中央处理器
显卡
内存储器
系统标签信息
为安装防病毒软件。
感染时间
黑仔功能模块该变种还会监控受感染主机上的以下进程(包括一些杀毒软件和防火墙进程)的名称,如果它们正在运行,它会尝试终止它们:
流程黑客
流程浏览器
SbieCtrl
间谍间谍
速度齿轮
Wireshark
Mbam
apateDNS
IPBlocker
体育
密钥加密程序
老虎防火墙
TCP视图
Xn5x
smsniff
exeinfoPE
重新拍摄
罗格杀手
网络嗅探器
taskmgr
VGAuthService
VBoxService
反射镜
Capsa
网络矿工
高级过程控制器
拉索启动器
拉索突
系统浏览器
ApateDNS
恶意软件字节防恶意软件
TCPEye
智能嗅探
活动端口
过程眼
MKN任务浏览器
当前报告
系统浏览器
钻石港口资源管理器
病毒总数
Metascan在线
变速齿轮
Wireshark网络分析仪
沙盒控件。网络反射器
通过USB驱动器的自复制模块该变体还具有通过USB驱动器的自复制功能。一旦它检测到外部USB驱动器连接到受感染的主机,它会将自身复制到USB驱动器,并使用文件夹图标创建快捷方式。
DDoS攻击功能模块的这种njRAT变体还具有执行ARME和Slowloris DDoS攻击的能力。Armddos攻击会试图耗尽服务器的内存资源。Slowloris是一种DDoS攻击工具,攻击者可以通过单台电脑用很小的带宽拿下目标服务器的Web服务器。
本文由黑客视界综合网整理,图片均来自网络;请注明“来自黑客视界”,并附上链接。