新Njrat木馬（Bladabindi）的新功能源碼分析

0x0 背景

Njrat，又稱Bladabindi，該木馬家族使用.NET框架編寫，是一個典型的RAT類程序，通過控制端可以操作受控端的文件、進程、服務、註冊表內容，也可以盜取受控端的瀏覽器的保存的密碼信息等內容。

新版的Njrat新增了更加流行的一些功能點，如勒索壓力測試，BTC錢包採集、對抗安全工具等使用新功能。

客戶端(Client)生成界面與後台控制端(Server)如圖：

0x1 源碼分析

總體代碼結構比上一個版本會顯得更加豐富了一些，這裡重點看一下新增部分的內容。

0x2 勒索加密與解密

最開始是先獲取了二個路徑Applicationdata和Startup二個特殊路徑，然後從Mypath一個輸入型變數的路徑開始與最開始的二個路徑進行比較後，調用Crypt方法進行加密。

主要加密的文件目錄如下:

加密演算法主要使用了AES對稱加密體制同時採用了電碼本模式ECB(Electronic Codebook Book)，過程中定義了32個Byte的密鑰分組，分組密鑰長度為256位。

對稱加密，解密演算法與之基本一致。

0x3 壓力測試(DDOS)

木馬主要內置了Slowloris作為流量攻擊的主體，這個玩意評價很高可以用很少的帶寬實現攻擊效果。

核心的調用方法如下：

0x4 U盤感染

首先獲取到系統的設備信息然後找到已經連接好類型為Removable類型的磁碟，獲取到U盤的文件路徑與木馬母體的路徑，並更改隱藏屬性。

將真實存在的文件全部設置為隱藏文件，並新建Link類型的快捷方式。用戶在點擊link運行快捷方式的同時，將會自動觸發病毒母體的運行。

0x5 排除異己

木馬運行時將會檢查系統當中是否存在一些安全查殺工具與虛擬機檢測，發現後講幹掉這些異己。(彷彿明白了為什麼PChunter每次的進程名都是隨機字元串的原因)

例舉幾個被監控的安全工具：

Process Hacker

Process Explorer

dnSpy

Sandboxie Control

wireshark

SpyTheSpy

Reflector

0x6 總結

1.現在木馬增加了很多對抗安全工具的方式，日常應急響應過程中需要格外仔細檢查

2.有更多基本功能的分析比如一些通信協議、獲取鍵盤信息、遠程控制等操作可移步菠菜大佬安全分析過的文章：【傳送門】。

*本文原創作者si1ence，本文屬於FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！