<dfn id='wotRwcy8'></dfn>

        <noscript id='wotRwcy8'></noscript>

      1. 频道栏目
        首页 > 安全 > 网络安全 > 正文

        新Njrat木马(Bladabindi)的新功能源码分析

        2019-02-20 10:11:08         来源:[db:作者]  
        收藏   我要投稿

        0×0 背景
        Njrat,又称Bladabindi,该木马家族使用.NET框架编写,是一个典型的RAT类程序,通过控制端可以操作受控端的文件、进程、服务、注册表内容,也可以盗取受控端的浏览器的保存的密码信息等内容。
        新版的Njrat新增了更加流行的一些功能点,如勒索压力测试,BTC钱包采集、对抗安全工具等使用新功能。
        客户端(Client)生成界面与后台控制端(Server)如图:

        0×1 源码分析
        总体代码结构比上一个版本会显得更加丰富了一些,这里重点看一下新增部分的内容。

        0×2 勒索加密与解密
        最开始是先获取了二个路径Applicationdata和Startup二个特殊路径,然后从Mypath一个输入型变量的路径开始与最开始的二个路径进行比较后,调用Crypt方法进行加密。

        主要加密的文件目录如下:

        加密算法主要使用了AES对称加密体制同时采用了电码本模式ECB(Electronic Codebook Book),过程中定义了32个Byte的密钥分组,分组密钥长度为256位。

        对称加密,解密算法与之基本一致。
        0×3 压力测试(DDOS)
        木马主要内置了Slowloris作为流量攻击的主体,这个玩意评价很高可以用很少的带宽实现攻击效果。
        核心的调用方法如下:

        0×4 U盘感染
        首先获取到系统的设备信息然后找到已经连接好类型为Removable类型的磁盘,获取到U盘的文件路径与木马母体的路径,并更改隐藏属性。

        将真实存在的文件全部设置为隐藏文件,并新建Link类型的快捷方式。用户在点击link运行快捷方式的同时,将会自动触发病毒母体的运行。

        0×5 排除异己
        木马运行时将会检查系统当中是否存在一些安全查杀工具与虚拟机检测,发现后讲干掉这些异己。(仿佛明白了为什么PChunter每次的进程名都是随机字符串的原因)
        例举几个被监控的安全工具:
        Process Hacker
        Process Explorer
        dnSpy
        Sandboxie Control
        wireshark
        SpyTheSpy
        Reflector

        0×6 总结
        1. 现在木马增加了很多对抗安全工具的方式,日常应急响应过程中需要格外仔细检查

        相关TAG标签 新功能 木马 源码
        上一篇:SamSam勒索病毒最新变种来袭
        下一篇:Xbash勒索挖矿样本分析
        相关文章
        图文推荐

        关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

        版权所有: 第一门户--致力于做实用的IT技术学习网站