查看: 10921|回复: 19
收起左侧

[分享] KillerRat:埃及黑客开发针对Windows平台的新型RAT

  [复制链接]
白露为霜
发表于 2015-11-22 20:47:03 | 显示全部楼层 |阅读模式
本帖最后由 root1605 于 2015-11-22 21:03 编辑

埃及黑客基于njRAT工具包开发了新的间谍软件,被称为KillerRat,据称,该RAT能够规避几乎所有防病毒和防恶意软件的扫描和检测。
FreeBuf 小百科
njRAT,是一款远程控制工具,主要针对Android设备的RAT,其特征码如下,
00401318:  FF53 50                    CALL NEAR [DWORD DS:EBX+50]00401346:  11FD                       ADC     EBP,EDI0040170C:  FF15 DCB14200              CALL    NEAR [42B1DC]0042A2F8:  CC                         INT30042A6BE:  E9 7402FEFF                JMP     0040A9370042A942:  FD                         STD0042FE10:  696F 6E 00AC014F           IMUL    EBP,[EDI+6E],4F01AC0000432280:  6D                         INS     DWORD PTR ES:[EDI],DX手里刚好有之前研究的样本,如需,请在下载链接中下载,除学习研究之外,请勿用做他途。
样本详见卡饭样本区
KillerRat与njRAT
相比于njRAT,该木马更加强大,黑客可以拥有更高级的操作执行权限,并且该木马在此前从未被识别出来。
而且,更加有趣的是,经分析,KillerRat是在njRAT工具包的基础上重新进行开发的。因此,也可以说该间谍工具是njRAT的更新版本,但是拥有更高级的侦测权限。
从执行平台上来看,njRAT的间谍功能只能针对Android设备,并不支持windows设备。而KillerRat仿佛是为了弥补njRAT的局限性,专门被设计用来侦测Windows PC的。
KillerRat的发现以及功能描述
网络安全供应商AlienVault,目前识别到了该间谍软件,同时进行了深入分析,确认了KillerRat实际上参考了njRAT的代码库。
据AlienVault分析所称,KillerRat有着令人惊叹的侦测能力,它可以使攻击者进行如下操作,

1、操作受害者PC的本地文件系统,本地进程以及本地注册表;‍‍‍‍2、可针对PC远程执行脚本命令;‍‍‍‍3、从浏览器上窃取密码;‍‍4、开启键盘操作记录功能;5、激活网络摄像头;6、记录PC实时视频;7、新建远程桌面会话;8、将受害者的PC作为他们网络代{过}{滤}理设备;9、实施DDoS攻击并通过在用户的浏览器上打开一个网页运行自定义脚本,下载其他恶意软件到感染的计算机;10、将收集到的信息传输到外部的C&C服务器。KillerRat目前识别率很低
根据AlienVault的分析,这种新的间谍软件目前在全球35家大型防病毒厂商中,只被一家防病毒厂商所识别到。
KillerRat作者其人
KillerRat的作者叫Ahmed Ibrahim,与多数黑客相比,他较为与众不同。他在工具中留下了自己的真实姓名以及个人Facebook链接,Facebook 个人页面
当我们点击该链接的时候,我们登录到了Ahmed Ibrahim的 Facebook介绍页面,从Ibrahim在 Facebook的活动时间表上分析,我们可以推断KillerRat V4.0.1大概是在10月30号开始发布的。在之前的版本KillerRat v3.1.6和v2.9.6分别是在10月23日及10月18日开始发布的。
而经过调查,还获知的事实是,除了killerrat ,Ibrahim目前正在参与开发另一个工具叫Wedges Worm。
*参考来源:hackread,FB小编troy编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

评分

参与人数 2经验 +40 分享 +1 收起 理由
footman + 40 版区有你更精彩: )
屁颠屁颠 + 1 版区有你更精彩: )

查看全部评分

sanhu35
发表于 2015-11-22 20:57:01 | 显示全部楼层
密码不对
xf455811
发表于 2015-11-22 23:43:26 | 显示全部楼层
还能有点隐私么!
愤怒の葡萄
头像被屏蔽
发表于 2015-11-23 07:16:51 | 显示全部楼层
间谍软件真是无孔不入啊!
mak999
发表于 2015-11-23 07:46:18 | 显示全部楼层
eset很給力
核弹总裁黄仁勋
发表于 2015-11-23 10:28:38 | 显示全部楼层
ESET惊艳啊!寡妇哑火了
伟君子啊
头像被屏蔽
发表于 2015-11-23 11:09:02 | 显示全部楼层
看来有时候小心是没用的啦
原美食小孩
发表于 2015-11-23 11:51:19 | 显示全部楼层
还认为是卡巴牛了。没想到是NOD32默不作声的解决了。
ccboxes
发表于 2015-11-23 12:41:54 | 显示全部楼层
只扫描很偏颇啊。。。。。。。
主防强根本体现不出来啊。
Cづ拖延症患者
发表于 2015-11-23 15:31:28 | 显示全部楼层
世界这么大,何处可安身!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 04:59 , Processed in 0.129236 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表