Windows平台的新型RAT
埃及黑客基于njRAT工具包开发了新的间谍软件,被称为KillerRat,据称,该RAT能够规避几乎所有防病毒和防恶意软件的扫描和检测。
FreeBuf 小百科
njRAT,是一款远程控制工具,主要针对Android设备的RAT,其特征码如下,
00401318: FF53 50 CALL NEAR [DWORD DS:EBX+50]
00401346: 11FD ADC EBP,EDI
0040170C: FF15 DCB14200 CALL NEAR [42B1DC]
0042A2F8: CC INT3
0042A6BE: E9 7402FEFF JMP 0040A937
0042A942: FD STD
0042FE10: 696F 6E 00AC014F IMUL EBP,[EDI+6E],4F01AC00
00432280: 6D INS DWORD PTR ES:[EDI],DX
手里刚好有之前研究的样本,如需,请在下载链接中下载,除学习研究之外,请勿用做他途。
百度网盘下载 密码: fvnu
KillerRat与njRAT
相比于njRAT,该木马更加强大,黑客可以拥有更高级的操作执行权限,并且该木马在此前从未被识别出来。
而且,更加有趣的是,经分析,KillerRat是在njRAT工具包的基础上重新进行开发的。因此,也可以说该间谍工具是njRAT的更新版本,但是拥有更高级的侦测权限。
从执行平台上来看,njRAT的间谍功能只能针对Android设备,并不支持windows设备。而KillerRat仿佛是为了弥补njRAT的局限性,专门被设计用来侦测Windows PC的。
KillerRat的发现以及功能描述
网络安全供应商AlienVault,目前识别到了该间谍软件,同时进行了深入分析,确认了KillerRat实际上参考了njRAT的代码库。
据AlienVault分析所称,KillerRat有着令人惊叹的侦测能力,它可以使攻击者进行如下操作,
1、操作受害者PC的本地文件系统,本地进程以及本地注册表;
2、可针对PC远程执行脚本命令;
3、从浏览器上窃取密码;
4、开启键盘操作记录功能;
5、激活网络摄像头;
6、记录PC实时视频;
7、新建远程桌面会话;
8、将受害者的PC作为他们网络代理设备;
9、实施DDoS攻击并通过在用户的浏览器上打开一个网页运行自定义脚本,下载其他恶意软件到感染的计算机;
10、将收集到的信息传输到外部的C&C服务器。
KillerRat目前识别率很低
根据AlienVault的分析,这种新的间谍软件目前在全球35家大型防病毒厂商中,只被一家防病毒厂商所识别到。
排名
KillerRat作者其人
KillerRat的作者叫Ahmed Ibrahim,与多数黑客相比,他较为与众不同。他在工具中留下了自己的真实姓名以及个人Facebook链接,Facebook 个人页面。
当我们点击该链接的时候,我们登录到了Ahmed Ibrahim的 Facebook介绍页面,从Ibrahim在 Facebook的活动时间表上分析,我们可以推断KillerRat V4.0.1大概是在10月30号开始发布的。在之前的版本KillerRat v3.1.6和v2.9.6分别是在10月23日及10月18日开始发布的。
执行界面.png
而经过调查,还获知的事实是,除了killerrat ,Ibrahim目前正在参与开发另一个工具叫Wedges Worm。
相关文章
- 3条评论
- 鸽吻鱼芗2022-05-28 19:31:23
- sp; IMUL EBP,[EDI+6E],4F01AC0000432280: 6D &nb
- 鸽吻白况2022-05-28 20:09:54
- KillerRat的作者叫Ahmed Ibrahim,与多数黑客相比,他较为与众不同。他在工具中留下了自己的真实姓名以及个人Facebook链接,Facebook 个人页面。
- 世味萌辣2022-05-29 01:20:50
- bsp; INS &nbs