转载

KillerRat：埃及黑客开发针对Windows平台的新型RAT

埃及黑客基于njRAT工具包开发了新的间谍软件，被称为KillerRat，据称，该RAT能够规避几乎所有防病毒和防恶意软件的扫描和检测。

FreeBuf 小百科

njRAT，是一款远程控制工具，主要针对Android设备的RAT，其特征码如下，

00401318:  FF53 50                    CALL NEAR [DWORD DS:EBX+50] 00401346:  11FD                       ADC     EBP,EDI 0040170C:  FF15 DCB14200              CALL    NEAR [42B1DC] 0042A2F8:  CC                         INT3 0042A6BE:  E9 7402FEFF                JMP     0040A937 0042A942:  FD                         STD 0042FE10:  696F 6E 00AC014F           IMUL    EBP,[EDI+6E],4F01AC00 00432280:  6D                         INS     DWORD PTR ES:[EDI],DX

手里刚好有之前研究的样本，如需，请在下载链接中下载，除学习研究之外，请勿用做他途。

百度网盘下载密码: fvnu

KillerRat与njRAT

相比于njRAT，该木马更加强大，黑客可以拥有更高级的操作执行权限，并且该木马在此前从未被识别出来。

而且，更加有趣的是，经分析，KillerRat是在njRAT工具包的基础上重新进行开发的。因此，也可以说该间谍工具是njRAT的更新版本，但是拥有更高级的侦测权限。

从执行平台上来看，njRAT的间谍功能只能针对Android设备，并不支持windows设备。而KillerRat仿佛是为了弥补njRAT的局限性，专门被设计用来侦测Windows PC的。

KillerRat的发现以及功能描述

网络安全供应商AlienVault，目前识别到了该间谍软件，同时进行了深入分析，确认了KillerRat实际上参考了njRAT的代码库。

据AlienVault分析所称，KillerRat有着令人惊叹的侦测能力，它可以使攻击者进行如下操作，

1、操作受害者PC的本地文件系统，本地进程以及本地注册表；‍‍ ‍‍2、可针对PC远程执行脚本命令； ‍‍‍‍3、从浏览器上窃取密码； ‍‍4、开启键盘操作记录功能； 5、激活网络摄像头； 6、记录PC实时视频； 7、新建远程桌面会话； 8、将受害者的PC作为他们网络代理设备； 9、实施DDoS攻击并通过在用户的浏览器上打开一个网页运行自定义脚本，下载其他恶意软件到感染的计算机； 10、将收集到的信息传输到外部的C&C服务器。

KillerRat目前识别率很低

根据AlienVault的分析，这种新的间谍软件目前在全球35家大型防病毒厂商中，只被一家防病毒厂商所识别到。

KillerRat：埃及黑客开发针对Windows平台的新型RAT

KillerRat作者其人

KillerRat的作者叫Ahmed Ibrahim，与多数黑客相比，他较为与众不同。他在工具中留下了自己的真实姓名以及个人Facebook链接， Facebook 个人页面。

当我们点击该链接的时候，我们登录到了Ahmed Ibrahim的 Facebook介绍页面，从Ibrahim在 Facebook的活动时间表上分析，我们可以推断KillerRat V4.0.1大概是在10月30号开始发布的。在之前的版本KillerRat v3.1.6和v2.9.6分别是在10月23日及10月18日开始发布的。

KillerRat：埃及黑客开发针对Windows平台的新型RAT