埃及黑客基于njRAT工具包开发了新的间谍软件,被称为KillerRat,据称,该RAT能够规避几乎所有防病毒和防恶意软件的扫描和检测。
FreeBuf 小百科
njRAT,是一款远程控制工具,主要针对Android设备的RAT,其特征码如下,
00401318: FF53 50 CALL NEAR [DWORD DS:EBX+50] 00401346: 11FD ADC EBP,EDI 0040170C: FF15 DCB14200 CALL NEAR [42B1DC] 0042A2F8: CC INT3 0042A6BE: E9 7402FEFF JMP 0040A937 0042A942: FD STD 0042FE10: 696F 6E 00AC014F IMUL EBP,[EDI+6E],4F01AC00 00432280: 6D INS DWORD PTR ES:[EDI],DX
手里刚好有之前研究的样本,如需,请在下载链接中下载,除学习研究之外,请勿用做他途。
百度网盘下载 密码: fvnu
KillerRat与njRAT
相比于njRAT,该木马更加强大,黑客可以拥有更高级的操作执行权限,并且该木马在此前从未被识别出来。
而且,更加有趣的是,经分析,KillerRat是在njRAT工具包的基础上重新进行开发的。因此,也可以说该间谍工具是njRAT的更新版本,但是拥有更高级的侦测权限。
从执行平台上来看,njRAT的间谍功能只能针对Android设备,并不支持windows设备。而KillerRat仿佛是为了弥补njRAT的局限性,专门被设计用来侦测Windows PC的。
KillerRat的发现以及功能描述
网络安全供应商AlienVault,目前识别到了该间谍软件,同时进行了深入分析,确认了KillerRat实际上参考了njRAT的代码库。
据AlienVault分析所称,KillerRat有着令人惊叹的侦测能力,它可以使攻击者进行如下操作,
1、操作受害者PC的本地文件系统,本地进程以及本地注册表; 2、可针对PC远程执行脚本命令; 3、从浏览器上窃取密码; 4、开启键盘操作记录功能; 5、激活网络摄像头; 6、记录PC实时视频; 7、新建远程桌面会话; 8、将受害者的PC作为他们网络代理设备; 9、实施DDoS攻击并通过在用户的浏览器上打开一个网页运行自定义脚本,下载其他恶意软件到感染的计算机; 10、将收集到的信息传输到外部的C&C服务器。
KillerRat目前识别率很低
根据AlienVault的分析,这种新的间谍软件目前在全球35家大型防病毒厂商中,只被一家防病毒厂商所识别到。
KillerRat作者其人
KillerRat的作者叫Ahmed Ibrahim,与多数黑客相比,他较为与众不同。他在工具中留下了自己的真实姓名以及个人Facebook链接, Facebook 个人页面 。
当我们点击该链接的时候,我们登录到了Ahmed Ibrahim的 Facebook介绍页面,从Ibrahim在 Facebook的活动时间表上分析,我们可以推断KillerRat V4.0.1大概是在10月30号开始发布的。在之前的版本KillerRat v3.1.6和v2.9.6分别是在10月23日及10月18日开始发布的。
而经过调查,还获知的事实是,除了killerrat ,Ibrahim目前正在参与开发另一个工具叫Wedges Worm。
*参考来源: hackread ,FB小编troy编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)