njRAT新变种通过蠕虫进行分发

njRAT新变种通过蠕虫进行分发

趋势科技的研究人员上周检测到了一种新的无文件恶意远程访问工具njRAT变体,能够通过可移动驱动器作为蠕虫病毒传播。

njRAT新变种通过蠕虫进行分发

通过可移动驱动器传播

njRAT新变种

njRAT又称BLADABINDI或njw0rm,是一种远程访问木马(RAT)。作为一个后门程序,它能够进行网络间谍、捕获网络摄像头镜头、键盘记录、分布式拒绝服务攻击、检索和执行文件、下载其他恶意文件以及窃取网络浏览器证书。

此次监测到的njRAT特殊变体,被标识为Worm.Win32.BLADABINDI.AA,它利用AutoIt(一种适用于Windows的免费自动化脚本语言)将最终的有效负载和主脚本编译成一个独立的可执行文件。趋势科技的威胁分析师Carl Maverick R. Pascual今天在一篇公司博客文章中报道称,除了将自身隐藏在可移动驱动器中之外,其还可以通过一个名为AdobeMX的注册表保持持久性。反过来,这会执行PowerShell来安装后门恶意软件。这种恶意软件加载技术使得最终有效载荷难以检测。

njRAT新变种通过蠕虫进行分发

编译后AutoIt脚本的通用指示符

攻击原理

研究人员对可执行文件脚本进行了分析,从而确定它会从%TEMP%目录中删除任何名为Tr.exe的文件,并将其替换为自己的恶意版本,再添加自身的副本。从位于water-bom[.]duckdns[.]org的C2服务器下载的所有其他文件也将存储在%TEMP%文件夹中。

删除的Tr.exe实际上是AutoIt编译的另一个可执行脚本(Trojan.Win32.BLADABINDI.AA)。对它进行反编译发现它包含一个base-64编码的可执行文件,Tr.exe使用一个名为AdobeMX的自动运行注册表……它会执行PowerShell以通过反射加载来加载编码的可执行文件,这意味着可执行文件是从内存而不是通过系统的磁盘加载的。

Worm.Win32.BLADABINDI.AA与其先前的迭代类似,其与C&C相关的URL使用动态域名解析服务。研究人员认为这可能是为了让攻击者“隐藏服务器的实际IP地址或根据需要更改或更新IP地址”。

该蠕虫的有效载荷、分发以及在受影响系统中无文件传递后门的技术使其成为一个严重的威胁。用户,特别是在工作场所使用可移动媒体的商业用户要采取一定的安全措施。限制使用可移动媒体、USB或者PowerShell之类的工具,使用时要确保其安全使用,并主动监控网关、端点、网络和服务器,以发现异常行为和指标,如C&C通信和信息窃取。

njRAT新变种通过蠕虫进行分发

后门功能

妥协指标(IoC):

相关哈希值(SHA-256):

c46a631f0bc82d8c2d46e9d8634cc50242987fa7749cac097439298d1d0c1d6e

——Worm.Win32.BLADABINDI.AA

25bc108a683d25a77efcac89b45f0478d9ddd281a9a2fb1f55fc6992a93aa830

——Win32.BLADABINDI.AA

相关恶意网址:

water[-]boom[.]duckdns[.]org(C&C服务器)

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132930.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code