压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

njRAT，也被稱為Bladabindi，是一種遠(yuǎn)程訪問木馬（RAT，remote access Trojan），于2013年首次出現(xiàn)，并迅速成為了最流行的惡意軟件家族之一。它將動(dòng)態(tài)DNS用于命令與控制（C&C）服務(wù)器，并通過可配置端口使用自定義TCP協(xié)議進(jìn)行通信。

njRAT是基于Microsoft .NET框架開發(fā)的，并且像許多其他RAT一樣，可以完全控制受感染的系統(tǒng)，并為遠(yuǎn)程攻擊者提供一系列功能。另外，njRAT還使用了多種.NET混淆工具，這會(huì)使得防病毒解決方案的檢測變得十分困難，并妨礙安全研究人員的分析過程。

njRAT之所以能夠在相對較短的時(shí)間里超越其他RAT，迅速成為最流行的惡意軟件家族之一的原因在于它采用了插件機(jī)制，這意味著其開發(fā)者能夠通過使用不同的插件來擴(kuò)展新的木馬功能。接下來，我們就將在下文中為大家介紹一款被命名為“njRAT Lime Edition”的njRAT木馬新變種。

新變種兼具多種功能

這款被命名為“njRAT Lime Edition”的njRAT木馬新變種是由美國網(wǎng)絡(luò)安全公司Zscaler發(fā)現(xiàn)的，該變種包括了以下功能：

• 勒索軟件
• 比特幣錢包竊取
• 鍵盤記錄
• 進(jìn)程殺手
• 通過USB驅(qū)動(dòng)器自我復(fù)制
• 密碼竊取
• 鎖定屏幕
• 分布式拒絕服務(wù)（DDoS）攻擊

通過這張配置文件截圖，我們能夠發(fā)現(xiàn)一些相對重要的信息：

• 配置為使用文件名Client.exe放入受感染系統(tǒng)的Temp文件夾
• Bot版本：7.3
• C＆C服務(wù)器域名：duckdns [.] org
• 端口編號：1700

勒索軟件模塊

該變種的勒索軟件功能模塊會(huì)使用AES-256對稱算法對擴(kuò)展名為.lime的文件進(jìn)行加密，這意味著加密和解密的密鑰是相同的。

在收到命令后，它將嘗試加密以下文件夾中的文件：

• SpecialFolder.LocalApplicationData
• SpecialFolder.ApplicationData
• SpecialFolder.ProgramFiles
• SpecialFolder.Desktop
• SpecialFolder.Favorites
• SpecialFolder.Personal
• SpecialFolder.MyMusic
• SpecialFolder.MyPictures
• SpecialFolder.Recent

Zscaler表示，njRAT Lime Edition的勒索軟件功能模塊幾乎包含了Lime勒索軟件的所有功能。這是一款在2017年12月6日被安全研究人員檢測到的勒索軟件，除了能夠加密文件之外，它還提供了以及后門功能，允許攻擊者訪問受感染的主機(jī)。

比特幣錢包竊取功能模塊

在收到searchwallet（搜索錢包）命令后，該變種會(huì)嘗試收集受感染主機(jī)上正在運(yùn)行的進(jìn)程，并在受害者購買或出售比特幣以及使用比特幣進(jìn)行付款時(shí)跟蹤受害者的比特幣錢包。

我們知道，諸如此類的數(shù)字錢包通常被用于存儲(chǔ)數(shù)字貨幣，并且可以連接到銀行賬戶、借記卡或信用卡，以便數(shù)字貨幣可以兌換成當(dāng)?shù)刎泿拧Ｔ撟兎N關(guān)注的比特幣錢包具體如下：

• 比特幣核心錢包（Bitcoin?Core，也稱Bitcoin-qt）
• Bitcoin[.]com
• 比特幣輕量級錢包（Electrum）

主機(jī)信息收集功能模塊

該變種還會(huì)利用Windows WMI查詢服務(wù)（如“SELECT * FROM AntivirusProduct”和“SELECT * FROM Win32_VideoController”）來檢查虛擬機(jī)（VM，Virtual Machine）或沙箱（Sandboxie）環(huán)境。它能夠收集并向C&C發(fā)送系統(tǒng)信息，例如：

• 系統(tǒng)名稱
• 用戶名
• Windows版本
• 系統(tǒng)架構(gòu)（64或32位）
• 網(wǎng)絡(luò)攝像頭（是/否）
• 活動(dòng)窗口
• 中央處理器
• 顯卡
• 內(nèi)存
• 系統(tǒng)卷標(biāo)信息
• 安裝的防病毒軟件
• 感染時(shí)間

進(jìn)程殺手功能模塊

該變種還會(huì)監(jiān)控受感染主機(jī)上的以下進(jìn)程（包括某些殺毒軟件和防火墻進(jìn)程）名稱，如果處于運(yùn)行狀態(tài)，它將嘗試對其進(jìn)行終止：

• Process?Hacker
• Process?Explorer
• SbieCtrl
• SpyTheSpy
• SpeedGear
• Wireshark
• Mbam
• apateDNS
• IPBlocker
• Cports
• KeyScrambler
• TiGeR-Firewall
• Tcpview
• Xn5x
• smsniff
• exeinfoPE
• Regshot
• RogueKiller
• NetSnifferCs
• taskmgr
• VGAuthService
• VBoxService
• Reflector
• Capsa
• NetworkMiner
• AdvancedProcessController
• ProcessLassoLauncher
• ProcessLasso
• SystemExplorer
• ApateDNS
• Malwarebytes?Anti-Malware
• TCPEye
• SmartSniff
• Active?Ports
• ProcessEye
• MKN?TaskExplorer
• Currports
• System?Explorer
• DiamondCS Port?Explorer
• Virustotal
• Metascan?Online
• Speed?Gear
• The Wireshark Network?Analyzer
• Sandboxie?Control
• .NetReflector

通過USB驅(qū)動(dòng)器自我復(fù)制模塊

該變種還具有通過USB驅(qū)動(dòng)器進(jìn)行自我復(fù)制的功能，一旦它檢測到有外部USB驅(qū)動(dòng)器連接到了受感染主機(jī)上，它會(huì)將其自身復(fù)制到USB驅(qū)動(dòng)器并使用文件夾圖標(biāo)來創(chuàng)建快捷方式。

DDoS攻擊功能模塊

這個(gè)njRAT變種還具有執(zhí)行ARME和Slowloris DDoS攻擊的能力。ARME DDoS攻擊會(huì)嘗試耗盡服務(wù)器的內(nèi)存資源。而Slowloris是一種DDoS攻擊工具，允許攻擊者通過單臺(tái)計(jì)算機(jī)以很少的帶寬就能夠拿下目標(biāo)服務(wù)器的Web服務(wù)器。