新Njrat木马(Bladabindi)的新功能源码分析

0×0 背景

Njrat,又称Bladabindi,该木马家族应用.NET框架编写,是一个范例的RAT类法度榜样,经由过程节制端可以操作受控真个文件、进程、办事、注册表内容,也可以窃取受控真个浏览器的保存的密码信息等内容。

新版的Njrat新增了加倍盛行的一些功能点,如打单压力测试,BTC钱包采集、抗衡安然对象等应用新功能。

客户端(Client)天生界面与后台节制端(Server)如图:

0×1 源码阐发

总体代码布局比上一个版本会显得加倍富厚了一些,这里重点看一下新增部分的内容。

0×2 打单加密与解密

最开始是先获取了二个路径Applicationdata和Startup二个特殊路径,然后从Mypath一个输入型变量的路径开始与最开始的二个路径进行对照后,调用Crypt措施进行加密。

主要加密的文件目录如下:

加密算法主要应用了AES对称加密系统体例同时采纳了电码本模式ECB(Electronic Codebook Book),历程中定义了32个Byte的密钥分组,分组密钥长度为256位。

对称加密,解密算法与之基础同等。

0×3 压力测试(DDOS)

木马主要内置了Slowloris作为流量进击的主体,这个玩意评价很高可以用很少的带宽实现进击效果。

核心的调用措施如下:

0×4 U盘感染

首先获取到系统的设备信息然后找到已经连接好类型为Removable类型的磁盘,获取到U盘的文件路径与木马母体的路径,并变动暗藏属性。

将真实存在的文件整个设置为暗藏文件,并新建Link类型的快捷要领。用户在点击link运行快捷要领的同时,将会自动触发病毒母体的运行。

0×5 扫除异己

木马运行时将会反省系统傍边是否存在一些安然查杀对象与虚拟机检测,发明后讲干掉落这些异己。(仿佛明白了为什么PChunter每次的进程名都是随机字符串的缘故原由)

例举几个被监控的安然对象:

Process Hacker

Process Explorer

dnSpy

Sandboxie Control

wireshark

SpyTheSpy

Reflector

0×6 总结

1. 现在木马增添了很多抗衡安然对象的要领,日常应急相应历程中必要非分特别仔细反省

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包