压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

njRAT，也被稱為Bladabindi，是一種遠程訪問木馬（RAT，remote access Trojan），于2013年首次出現，并迅速成為了最流行的惡意軟件家族之一。它將動態DNS用于命令與控制（C&C）服務器，并通過可配置端口使用自定義TCP協議進行通信。

njRAT是基于Microsoft .NET框架開發的，并且像許多其他RAT一樣，可以完全控制受感染的系統，并為遠程攻擊者提供一系列功能。另外，njRAT還使用了多種.NET混淆工具，這會使得防病毒解決方案的檢測變得十分困難，并妨礙安全研究人員的分析過程。

njRAT之所以能夠在相對較短的時間里超越其他RAT，迅速成為最流行的惡意軟件家族之一的原因在于它采用了插件機制，這意味著其開發者能夠通過使用不同的插件來擴展新的木馬功能。接下來，我們就將在下文中為大家介紹一款被命名為“njRAT Lime Edition”的njRAT木馬新變種。

新變種兼具多種功能

這款被命名為“njRAT Lime Edition”的njRAT木馬新變種是由美國網絡安全公司Zscaler發現的，該變種包括了以下功能：

• 勒索軟件
• 比特幣錢包竊取
• 鍵盤記錄
• 進程殺手
• 通過USB驅動器自我復制
• 密碼竊取
• 鎖定屏幕
• 分布式拒絕服務（DDoS）攻擊

通過這張配置文件截圖，我們能夠發現一些相對重要的信息：

• 配置為使用文件名Client.exe放入受感染系統的Temp文件夾
• Bot版本：7.3
• C＆C服務器域名：duckdns [.] org
• 端口編號：1700

勒索軟件模塊

該變種的勒索軟件功能模塊會使用AES-256對稱算法對擴展名為.lime的文件進行加密，這意味著加密和解密的密鑰是相同的。

在收到命令后，它將嘗試加密以下文件夾中的文件：

• SpecialFolder.LocalApplicationData
• SpecialFolder.ApplicationData
• SpecialFolder.ProgramFiles
• SpecialFolder.Desktop
• SpecialFolder.Favorites
• SpecialFolder.Personal
• SpecialFolder.MyMusic
• SpecialFolder.MyPictures
• SpecialFolder.Recent

Zscaler表示，njRAT Lime Edition的勒索軟件功能模塊幾乎包含了Lime勒索軟件的所有功能。這是一款在2017年12月6日被安全研究人員檢測到的勒索軟件，除了能夠加密文件之外，它還提供了以及后門功能，允許攻擊者訪問受感染的主機。

比特幣錢包竊取功能模塊

在收到searchwallet（搜索錢包）命令后，該變種會嘗試收集受感染主機上正在運行的進程，并在受害者購買或出售比特幣以及使用比特幣進行付款時跟蹤受害者的比特幣錢包。

我們知道，諸如此類的數字錢包通常被用于存儲數字貨幣，并且可以連接到銀行賬戶、借記卡或信用卡，以便數字貨幣可以兌換成當地貨幣。該變種關注的比特幣錢包具體如下：

• 比特幣核心錢包（Bitcoin?Core，也稱Bitcoin-qt）
• Bitcoin[.]com
• 比特幣輕量級錢包（Electrum）

主機信息收集功能模塊

該變種還會利用Windows WMI查詢服務（如“SELECT * FROM AntivirusProduct”和“SELECT * FROM Win32_VideoController”）來檢查虛擬機（VM，Virtual Machine）或沙箱（Sandboxie）環境。它能夠收集并向C&C發送系統信息，例如：

• 系統名稱
• 用戶名
• Windows版本
• 系統架構（64或32位）
• 網絡攝像頭（是/否）
• 活動窗口
• 中央處理器
• 顯卡
• 內存
• 系統卷標信息
• 安裝的防病毒軟件
• 感染時間

進程殺手功能模塊

該變種還會監控受感染主機上的以下進程（包括某些殺毒軟件和防火墻進程）名稱，如果處于運行狀態，它將嘗試對其進行終止：

• Process?Hacker
• Process?Explorer
• SbieCtrl
• SpyTheSpy
• SpeedGear
• Wireshark
• Mbam
• apateDNS
• IPBlocker
• Cports
• KeyScrambler
• TiGeR-Firewall
• Tcpview
• Xn5x
• smsniff
• exeinfoPE
• Regshot
• RogueKiller
• NetSnifferCs
• taskmgr
• VGAuthService
• VBoxService
• Reflector
• Capsa
• NetworkMiner
• AdvancedProcessController
• ProcessLassoLauncher
• ProcessLasso
• SystemExplorer
• ApateDNS
• Malwarebytes?Anti-Malware
• TCPEye
• SmartSniff
• Active?Ports
• ProcessEye
• MKN?TaskExplorer
• Currports
• System?Explorer
• DiamondCS Port?Explorer
• Virustotal
• Metascan?Online
• Speed?Gear
• The Wireshark Network?Analyzer
• Sandboxie?Control
• .NetReflector

通過USB驅動器自我復制模塊

該變種還具有通過USB驅動器進行自我復制的功能，一旦它檢測到有外部USB驅動器連接到了受感染主機上，它會將其自身復制到USB驅動器并使用文件夾圖標來創建快捷方式。

DDoS攻擊功能模塊

這個njRAT變種還具有執行ARME和Slowloris DDoS攻擊的能力。ARME DDoS攻擊會嘗試耗盡服務器的內存資源。而Slowloris是一種DDoS攻擊工具，允許攻擊者通過單臺計算機以很少的帶寬就能夠拿下目標服務器的Web服務器。