遠控工具Njrat實現一鍵加密與解密測試
*本文原創作者:si1ence,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
0×0 背景
njRAT至少自2013年以來一直存在,是最流行的惡意軟體系列之一。該惡意軟體內置於.NET Framework中,可為攻擊者提供對受感染系統的遠端控制,利用動態DNS進行命令和控制(C&C),並在可配置埠上使用自定義TCP協議進行通訊。被稱為njRAT Lime Edition的新惡意軟體版本包括對勒索軟體感染,比特幣採集卡和分散式拒絕服務(DDoS)的支援,同時還能夠記錄擊鍵,通過USB驅動器傳播,竊取密碼和鎖定螢幕。
0×1 實驗
實踐是檢驗真理的唯一標準,這裡搭建了模擬了一下勒索的場景。
| IP | OS | Remark |
|---|---|---|
| 192.168.184.139 | Windows 2008 R2 | Victim |
| 192.168.184.140 | Windows 2008 R2 | Hacker |
現在先在攻擊機上面安裝好了Njrat Lime Edition版本,這個版本比上個版本的檔案結構感覺更加清晰一些。
設定好port與key之後執行服務端,在生成客戶端的時候這裡可以生成client或者downloader。
生成客戶端的時候有了更多的選項,特別明顯的地方就是多了比特幣採集卡其他常用功能也都一一具備:
ü 隱藏檔案路徑
ü U盤傳播
ü 幹掉殺軟
ü 開機啟動
ü 添加註冊表
ü 守護程序
將生成好的Client在Victim機器上面執行之後服務端可以收到一個連線的sessions,展示了關於Victim上面的一些計算機資訊。
對受害者進行操作就可以發現多了很多常用的功能,比如一鍵勒索、比特幣、壓力測試(slowis) 、Bypass UAC、幹掉殺軟、關機刪Cookie等功能,居然還有一個torrent。
這裡測試一下一鍵勒索加密:
客戶端的檔案被加密成了Lime結尾的檔案、桌面背景也被更改:
一鍵decrypt之後檔案已經恢復:
0×2 受害端的情況
在受害端的機器上可以看到程序在執行,檔案路徑在APPDATA這個隱藏目錄下面,且無父程序。
已經添加了開機啟動項與登錄檔:
最後還可以用textMessages留個言:
0×3 防護建議
1.此類攻擊方式較多通過郵件附件進行傳播,對於可疑的郵件附件要謹慎、謹慎、再謹慎。
2.捆綁軟體安裝也是常用的一種傳播方式,建議到軟體官網與可信第三方軟體進行下載。
3.本地安裝安全軟體及時查殺出惡意檔案。
4.安全無小事,日常需謹慎,提升安全知識,日常逛Freebuf。
*本文原創作者:si1ence,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載