黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花

起源

无意网上冲浪的时候浏览到一篇文章,后续竟然巧合的发现黑客工具里也隐藏了远控木马,在黑客工具中安装木马估计也是黑吃黑吧?然后就顺便记录下。
图片[1]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
图片[2]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
看到提取码,心里一想十有八九已经失效了,但是还是想碰碰运气。果然由于时间过去很久了,作者提供的云盘分享链接也已失效。
图片[3]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
我寻思”下次要早点来呦”与晚点来不影响吧,主要还是分享者取消了分享。哈哈哈,不过心里又对这个工具很好奇,还是自己动手丰衣足食吧。其实搜了一遍发现公网都没有啥地方有提供这个工具,不过最后还是被”找到”了。
 

样本分析

于是本地拿到文件,如下。
图片[4]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
看图标就知道需要设置为UAC允许后才能运行,如下。
图片[5]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
属于NSIS安装程序,表示这是一个打包文件,运行后会释放文件,恩?释放文件?
图片[6]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
图片[7]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
采用7zip对其解压得到两个文件,如下。
图片[8]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
Crypter Server By Egyptian Joker.exe为一个.NET平台可执行文件,是一款黑客工具,作用是生成混淆的代码,这个估计才是真实的工具。
图片[9]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
s.exe为一个.NET平台可执行文件,通过沙箱行为报告可发现,最终效果会是一个典型的njRAT远控客户端木马。
 
这里简单介绍一下njRAT远控木马,njRAT也称为Bladabindi和Njw0rm,是一种远控木马,用于远程控制受感染的计算机。由于其可用性与过多的在线教程和强大的核心功能集 合加上几种已实现的逃脱技术,这使得njRAT成为全球使用最广泛的RAT之一。
 
该恶意软件在2013年首次被检测到,但是研究人员在2012年也观察到了一些相关的RAT。2014年中东是njRAT木马攻击最多的区域,这是该恶意软件的最有针对性的区域。
 
njRAT木马是建立在.NET框架上的,该RAT使黑客能够远程控制受害者的PC。njRAT允许攻击者激活网络摄像头,记录键盘输入并从Web浏览器以及多个桌面应用程序窃取密码。
 
此外,该恶意软件还使黑客能够访问受感染计算机上的命令行,它允许攻击者结束进程以及远程执行和操作文件,最重要的是njRAT能够修改系统注册表,被感染时将收集有关其进入的PC的一些信息,包括计算机名称,操作系统编号,计算机的国家/地区,用户名和操作系统版本。
 
此外,该恶意软件还可以锁定加密货币钱包应用程序并从PC中窃取加密货币。例如它能够获取比特币,甚至访问信用 卡信息。
 
感染计算机后,恶意软件会使用变量名并将其复制到%TEMP%,%APPDATA%,%USERPROFILE%,%ALLUSERSPROFILE%或%windir%中,它还可以将自身复制到<任何字符串>.exe,以确保受害者每次打开计算机时都会被启动。
 
njRAT有一些技巧,可以避免被防病毒软件检测到。例如,它可以使用多个.NET混淆器来混淆其代码。该恶意软件使用的另一种技术是伪装成关键进程,也使得njRAT很难从受感染的PC中被清除。njRAT还可以停用属于防病毒软件的进程,从而使其保持隐藏状态。njRAT还知道如何检测它是否已在虚拟机上运行。
 
为了传播,njRAT可以检测到通过USB连接的外部硬盘驱动器。一旦检测到此类设备,RAT就会将自身复制到连接的驱动器上并创建快捷方式进行传播。
 
njRAT的创建者是一个名为Sparclyheason的地下黑客社区的成员,显然,他们创建了一种非常流行且具有破坏性的恶意软件。
 
s.exe同样为.NET平台可执行文件,如下。
图片[10]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
图片[11]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
s.exe采用了创建窗口的时候从pastbin.com站点下载payload,之后本地采用CallByName调用执行,属于一层外壳。
图片[12]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
图片[13]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
虽然时间过去几年了,但是这个恶意payload地址还在,如下。
图片[14]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
手工提取解码后,分析发现还是.NET平台可执行文件。
图片[15]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
图片[16]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
进入入口点后如果熟悉njRAT的话就会发现很明显的njRAT入口代码,如下。
图片[17]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
图片[18]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
版本为0.7d,会进行通信的C&C以及端口也提供了。
图片[19]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科
图片[20]-黑吃黑之暗藏njRAT远控木马 – 作者:生如夏花-安全小百科

来源:freebuf.com 2020-08-03 10:10:13 by: 生如夏花

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论