远控工具Njrat实现一键加密与解密测试
source link: http://www.freebuf.com/vuls/183398.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
*本文原创作者:si1ence,本文属FreeBuf原创奖励计划,未经许可禁止转载
0×0 背景
njRAT至少自2013年以来一直存在,是最流行的恶意软件系列之一。该恶意软件内置于.NET Framework中,可为攻击者提供对受感染系统的远程控制,利用动态DNS进行命令和控制(C&C),并在可配置端口上使用自定义TCP协议进行通信。被称为njRAT Lime Edition的新恶意软件版本包括对勒索软件感染,比特币采集卡和分布式拒绝服务(DDoS)的支持,同时还能够记录击键,通过USB驱动器传播,窃取密码和锁定屏幕。
0×1 实验
实践是检验真理的唯一标准,这里搭建了模拟了一下勒索的场景。
IP OS Remark 192.168.184.139 Windows 2008 R2 Victim 192.168.184.140 Windows 2008 R2 Hacker现在先在攻击机上面安装好了Njrat Lime Edition版本,这个版本比上个版本的文件结构感觉更加清晰一些。
设置好port与key之后运行服务端,在生成客户端的时候这里可以生成client或者downloader。
生成客户端的时候有了更多的选项,特别明显的地方就是多了比特币采集卡其他常用功能也都一一具备:
ü 隐藏文件路径
ü U盘传播
ü 干掉杀软
ü 开机启动
ü 添加注册表
ü 守护进程
将生成好的Client在Victim机器上面运行之后服务端可以收到一个连接的sessions,展示了关于Victim上面的一些计算机信息。
对受害者进行操作就可以发现多了很多常用的功能,比如一键勒索、比特币、压力测试(slowis) 、Bypass UAC、干掉杀软、关机删Cookie等功能,居然还有一个torrent。
这里测试一下一键勒索加密:
客户端的文件被加密成了Lime结尾的文件、桌面背景也被更改:
一键decrypt之后文件已经恢复:
0×2 受害端的情况
在受害端的机器上可以看到进程在运行,文件路径在APPDATA这个隐藏目录下面,且无父进程。
已经添加了开机启动项与注册表:
最后还可以用textMessages留个言:
0×3 防护建议
1.此类攻击方式较多通过邮件附件进行传播,对于可疑的邮件附件要谨慎、谨慎、再谨慎。
2.捆绑软件安装也是常用的一种传播方式,建议到软件官网与可信第三方软件进行下载。
3.本地安装安全软件及时查杀出恶意文件。
4.安全无小事,日常需谨慎,提升安全知识,日常逛Freebuf。
*本文原创作者:si1ence,本文属FreeBuf原创奖励计划,未经许可禁止转载
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK