njRAT木馬又現新變種 新增勒索軟體和比特幣錢包竊取功能
「用指尖改變世界」
njRAT,也被稱為Bladabindi,是一種遠程訪問木馬(RAT,remote access Trojan),於2013年首次出現,並迅速成為了最流行的惡意軟體家族之一。它將動態DNS用於命令與控制(C&C)伺服器,並通過可配置埠使用自定義TCP協議進行通信。
njRAT是基於Microsoft .NET框架開發的,並且像許多其他RAT一樣,可以完全控制受感染的系統,並為遠程攻擊者提供一系列功能。另外,njRAT還使用了多種.NET混淆工具,這會使得防病毒解決方案的檢測變得十分困難,並妨礙安全研究人員的分析過程。
njRAT之所以能夠在相對較短的時間裡超越其他RAT,迅速成為最流行的惡意軟體家族之一的原因在於它採用了插件機制,這意味著其開發者能夠通過使用不同的插件來擴展新的木馬功能。接下來,我們就將在下文中為大家介紹一款被命名為「njRAT Lime Edition」的njRAT木馬新變種。
新變種兼具多種功能
這款被命名為「njRAT Lime Edition」的njRAT木馬新變種是由美國網路安全公司Zscaler發現的,該變種包括了以下功能:
勒索軟體
比特幣錢包竊取
鍵盤記錄
進程殺手
通過USB驅動器自我複製
密碼竊取
鎖定屏幕
分散式拒絕服務(DDoS)攻擊
以下是njRAT Lime Edition配置文件的截圖:
通過這張配置文件截圖,我們能夠發現一些相對重要的信息:
配置為使用文件名exe放入受感染系統的Temp文件夾
Bot版本:7.3
C&C伺服器域名:duckdns [.] org
埠編號:1700
勒索軟體模塊
該變種的勒索軟體功能模塊會使用AES-256對稱演算法對擴展名為.lime的文件進行加密,這意味著加密和解密的密鑰是相同的。
在收到命令後,它將嘗試加密以下文件夾中的文件:
SpecialFolder.LocalApplicationData
SpecialFolder.ApplicationData
SpecialFolder.ProgramFiles
SpecialFolder.Desktop
SpecialFolder.Favorites
SpecialFolder.Personal
SpecialFolder.MyMusic
SpecialFolder.MyPictures
SpecialFolder.Recent
Zscaler表示,njRAT Lime Edition的勒索軟體功能模塊幾乎包含了Lime勒索軟體的所有功能。這是一款在2017年12月6日被安全研究人員檢測到的勒索軟體,除了能夠加密文件之外,它還提供了以及後門功能,允許攻擊者訪問受感染的主機。
比特幣錢包竊取功能模塊
在收到searchwallet(搜索錢包)命令後,該變種會嘗試收集受感染主機上正在運行的進程,並在受害者購買或出售比特幣以及使用比特幣進行付款時跟蹤受害者的比特幣錢包。
我們知道,諸如此類的數字錢包通常被用於存儲數字貨幣,並且可以連接到銀行賬戶、借記卡或信用卡,以便數字貨幣可以兌換成當地貨幣。該變種關注的比特幣錢包具體如下:
比特幣核心錢包(Bitcoin Core,也稱Bitcoin-qt)
Bitcoin[.]com
比特幣輕量級錢包(Electrum)
主機信息收集功能模塊
該變種還會利用Windows WMI查詢服務(如「SELECT * FROM AntivirusProduct」和「SELECT * FROM Win32_VideoController」)來檢查虛擬機(VM,Virtual Machine)或沙箱(Sandboxie)環境。它能夠收集並向C&C發送系統信息,例如:
系統名稱
用戶名
Windows版本
系統架構(64或32位)
網路攝像頭(是/否)
活動窗口
中央處理器
顯卡
內存
系統卷標信息
安裝的防病毒軟體
感染時間
進程殺手功能模塊
該變種還會監控受感染主機上的以下進程(包括某些殺毒軟體和防火牆進程)名稱,如果處於運行狀態,它將嘗試對其進行終止:
Process Hacker
Process Explorer
SbieCtrl
SpyTheSpy
SpeedGear
Wireshark
Mbam
apateDNS
IPBlocker
Cports
KeyScrambler
TiGeR-Firewall
Tcpview
Xn5x
smsniff
exeinfoPE
Regshot
RogueKiller
NetSnifferCs
taskmgr
VGAuthService
VBoxService
Reflector
Capsa
NetworkMiner
AdvancedProcessController
ProcessLassoLauncher
ProcessLasso
SystemExplorer
ApateDNS
Malwarebytes Anti-Malware
TCPEye
SmartSniff
Active Ports
ProcessEye
MKN TaskExplorer
Currports
System Explorer
DiamondCS Port Explorer
Virustotal
Metascan Online
Speed Gear
The Wireshark Network Analyzer
Sandboxie Control
.NetReflector
通過USB驅動器自我複製模塊
該變種還具有通過USB驅動器進行自我複製的功能,一旦它檢測到有外部USB驅動器連接到了受感染主機上,它會將其自身複製到USB驅動器並使用文件夾圖標來創建快捷方式。
DDoS攻擊功能模塊
這個njRAT變種還具有執行ARME和Slowloris DDoS攻擊的能力。ARME DDoS攻擊會嘗試耗盡伺服器的內存資源。而Slowloris是一種DDoS攻擊工具,允許攻擊者通過單台計算機以很少的帶寬就能夠拿下目標伺服器的Web伺服器。
本文由黑客視界綜合網路整理,圖片源自網路;轉載請註明「轉自黑客視界」,並附上鏈接。
※數據泄露聚合網站HIBP增添80M新記錄 並帶來升級版查詢服務
※Qrypter:一款被忽視但仍影響全球數百個組織的遠控木馬
TAG:黑客視界 |