远控工具Njrat实现一键加密与解密测试

栏目: 编程工具 · 发布时间: 6年前

内容简介:njRAT至少自2013年以来一直存在,是最流行的恶意软件系列之一。该恶意软件内置于.NET Framework中,可为攻击者提供对受感染系统的远程控制,利用动态DNS进行命令和控制(C&C),并在可配置端口上使用自定义TCP协议进行通信。被称为njRAT Lime Edition的新恶意软件版本包括对勒索软件感染,比特币采集卡和分布式拒绝服务(DDoS)的支持,同时还能够记录击键,通过USB驱动器传播,窃取密码和锁定屏幕。实践是检验真理的唯一标准,这里搭建了模拟了一下勒索的场景。

*本文原创作者:si1ence,本文属FreeBuf原创奖励计划,未经许可禁止转载

0×0 背景

njRAT至少自2013年以来一直存在,是最流行的恶意软件系列之一。该恶意软件内置于.NET Framework中,可为攻击者提供对受感染系统的远程控制,利用动态DNS进行命令和控制(C&C),并在可配置端口上使用自定义TCP协议进行通信。被称为njRAT Lime Edition的新恶意软件版本包括对勒索软件感染,比特币采集卡和分布式拒绝服务(DDoS)的支持,同时还能够记录击键,通过USB驱动器传播,窃取密码和锁定屏幕。 

0×1 实验

实践是检验真理的唯一标准,这里搭建了模拟了一下勒索的场景。

IP OS Remark
192.168.184.139 Windows 2008 R2 Victim
192.168.184.140 Windows 2008 R2 Hacker

现在先在攻击机上面安装好了Njrat Lime Edition版本,这个版本比上个版本的文件结构感觉更加清晰一些。

远控工具Njrat实现一键加密与解密测试

设置好port与key之后运行服务端,在生成客户端的时候这里可以生成client或者downloader。

远控工具Njrat实现一键加密与解密测试

生成客户端的时候有了更多的选项,特别明显的地方就是多了比特币采集卡其他常用功能也都一一具备:

ü 隐藏文件路径

ü U盘传播

ü 干掉杀软

ü 开机启动

ü 添加注册表

ü 守护进程

远控工具Njrat实现一键加密与解密测试

将生成好的Client在Victim机器上面运行之后服务端可以收到一个连接的sessions,展示了关于Victim上面的一些计算机信息。

远控工具Njrat实现一键加密与解密测试

对受害者进行操作就可以发现多了很多常用的功能,比如一键勒索、比特币、压力测试(slowis) 、Bypass UAC、干掉杀软、关机删Cookie等功能,居然还有一个torrent。

远控工具Njrat实现一键加密与解密测试

这里测试一下一键勒索加密:

远控工具Njrat实现一键加密与解密测试

客户端的文件被加密成了Lime结尾的文件、桌面背景也被更改:

远控工具Njrat实现一键加密与解密测试

一键decrypt之后文件已经恢复:

远控工具Njrat实现一键加密与解密测试

0×2 受害端的情况

在受害端的机器上可以看到进程在运行,文件路径在APPDATA这个隐藏目录下面,且无父进程。

远控工具Njrat实现一键加密与解密测试

已经添加了开机启动项与注册表:

远控工具Njrat实现一键加密与解密测试

最后还可以用textMessages留个言:

远控工具Njrat实现一键加密与解密测试

0×3 防护建议

1.此类攻击方式较多通过邮件附件进行传播,对于可疑的邮件附件要谨慎、谨慎、再谨慎。

2.捆绑软件安装也是常用的一种传播方式,建议到软件官网与可信第三方软件进行下载。

3.本地安装安全软件及时查杀出恶意文件。

4.安全无小事,日常需谨慎,提升安全知识,日常逛Freebuf。

*本文原创作者:si1ence,本文属FreeBuf原创奖励计划,未经许可禁止转载


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

深入浅出WebAssembly

深入浅出WebAssembly

于航 / 电子工业出版社 / 2018-11 / 128.00元

WebAssembly是一种新的二进制格式,它可以方便地将C/C++等静态语言的代码快速地“运行”在浏览器中,这一特性为前端密集计算场景提供了无限可能。不仅如此,通过WebAssembly技术,我们还可以将基于Unity等游戏引擎开发的大型游戏快速地移植到Web端。WebAssembly技术现在已经被计划设计成W3C的标准,众多浏览器厂商已经提供了对其MVP版本标准的支持。在Google I/O ......一起来看看 《深入浅出WebAssembly》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

html转js在线工具
html转js在线工具

html转js在线工具