埃及黑客開發針對Windows平臺的新型RAT


埃及黑客基於njRAT工具包開發了新的間諜軟件,被稱為KillerRat,據稱,該RAT能夠規避幾乎所有防病毒和防惡意軟件的掃描和檢測。
FreeBuf 小百科
njRAT,是一款遠程控制工具,主要針對Android設備的RAT,其特征碼如下,
00401318:  FF53 50                    CALL NEAR [DWORD DS:EBX+50]00401346:  11FD                       ADC     EBP,EDI0040170C:  FF15 DCB14200              CALL    NEAR [42B1DC]0042A2F8:  CC                         INT30042A6BE:  E9 7402FEFF                JMP     0040A9370042A942:  FD                         STD0042FE10:  696F 6E 00AC014F           IMUL    EBP,[EDI+6E],4F01AC0000432280:  6D                         INS     DWORD PTR ES:[EDI],DX手裏剛好有之前研究的樣本,如需,請在下載鏈接中下載,除學習研究之外,請勿用做他途。
樣本詳見卡飯樣本區
KillerRat與njRAT
相比於njRAT,該木馬更加強大,黑客可以擁有更高級的操作執行權限,並且該木馬在此前從未被識別出來。
而且,更加有趣的是,經分析,KillerRat是在njRAT工具包的基礎上重新進行開發的。因此,也可以說該間諜工具是njRAT的更新版本,但是擁有更高級的偵測權限。
從執行平臺上來看,njRAT的間諜功能只能針對Android設備,並不支持windows設備。而KillerRat仿佛是為了彌補njRAT的局限性,專門被設計用來偵測Windows PC的。
KillerRat的發現以及功能描述
網絡安全供應商AlienVault,目前識別到了該間諜軟件,同時進行了深入分析,確認了KillerRat實際上參考了njRAT的代碼庫。
據AlienVault分析所稱,KillerRat有著令人驚嘆的偵測能力,它可以使攻擊者進行如下操作,
‍‍
1、操作受害者PC的本地文件系統,本地進程以及本地註冊表;‍‍‍‍2、可針對PC遠程執行腳本命令;‍‍‍‍3、從瀏覽器上竊取密碼;‍‍4、開啟鍵盤操作記錄功能;5、激活網絡攝像頭;6、記錄PC實時視頻;7、新建遠程桌面會話;8、將受害者的PC作為他們網絡代{過}{濾}理設備;9、實施DDoS攻擊並通過在用戶的瀏覽器上打開一個網頁運行自定義腳本,下載其他惡意軟件到感染的計算機;10、將收集到的信息傳輸到外部的C&C服務器。KillerRat目前識別率很低
根據AlienVault的分析,這種新的間諜軟件目前在全球35家大型防病毒廠商中,只被一家防病毒廠商所識別到。

KillerRat作者其人
KillerRat的作者叫Ahmed Ibrahim,與多數黑客相比,他較為與眾不同。他在工具中留下了自己的真實姓名以及個人Facebook鏈接,Facebook 個人頁面。
當我們點擊該鏈接的時候,我們登錄到了Ahmed Ibrahim的 Facebook介紹頁面,從Ibrahim在 Facebook的活動時間表上分析,我們可以推斷KillerRat V4.0.1大概是在10月30號開始發布的。在之前的版本KillerRat v3.1.6和v2.9.6分別是在10月23日及10月18日開始發布的。

而經過調查,還獲知的事實是,除了killerrat ,Ibrahim目前正在參與開發另一個工具叫Wedges Worm。
*參考來源:hackread,FB小編troy編譯,轉載請註明來自FreeBuf黑客與極客(FreeBuf.COM)

應該請佢加入防毒軟件公司!
M$請佢都係.
職位係反病毒專家!

TOP