盗 *** 暗码:新Njrat木马(Bladabindi)的新功能源码剖析

访客5年前关于黑客接单1342

Njrat,又称Bladabindi,该木马宗族运用.NET结构编写,是一个典型的RAT类程序,通过控制端可以操作受控端的文件、进程、服务、注册表内容,也可以盗取受控端的浏览器的保存的暗码信息等内容。

新版的Njrat新增了愈加盛行的一些功用点,如勒索压力测验, *** C钱包收集、对立安全东西等运用新功用。

客户端(Client)生成界面与后台控制端(Se从控制端了解远控木马的功用rver)如图:

0×1 源码分析 

整体代码结构比上一个版本会显得愈加丰厚了一些,这儿要点看一下新增部分的内容。

0×2 勒索加密与解密

最开端是先获取了二个途径Applicationdata和Startup二个特别途径,然后从Mypath一个输入型变量的途径开端与最开端的二个途径进行比较后,调用Crypt *** 进行加密。

首要加密的文件目录如下:

加密算法首要运用了AES对称加密系统一起采用了电码本方式ECB(Electronic Codebook Book),过程中界说了32个Byte的密钥分组,分组密钥长度为256位。

对称加密,解密算法与之根本共同。

0×3 压力测验(DDOS)

木马首要内置了Slowloris作为流量侵犯的主体,这个玩意点评很高可以用很少的带宽完结侵犯作用。

中心的调用 *** 如下:

0×4 U盘感染

首要获取到系统的设备信息然后找到现已连接好类型为Removable类型的磁盘,获取到U盘的文件途径与木马母体的途径,并更改躲藏特点。

将实在存在的文件悉数设置为躲藏文件,并新建Link类型的快捷 *** 。用户在点击link工作快捷 *** 的一起,将会主动触发病毒母体的工作。

0×5 排除异己

木马工作时将会查看系统傍边是否存在一些安全查杀东西与虚拟机检测,发现后讲干掉这些异己。(似乎理解了为什么PChunter每次的进程名都是随机字符串的原因)

例举几个被监控的安全东西:

Process Hacker

Process Explorer

dnSpy

Sandboxie Control

wireshark

S

一、内部侵犯检测pyTheSpy

Reflector

0×6 总结

1. 现在木马增加了许多对立安全东西的 *** ,日常应急呼应过程中需求分外仔细查看

2. 有更多根本功用的分析比如一些通信协议、获取键盘信息、长途控制等操作可移步菠菜大佬安全分析过的文章:【传送门】。

*本文原创作者si1ence,本文归于FreeBuf原创奖赏方案,未经许可制止转载

盗 *** 暗码:新Njrat木马(Bladabindi)的新功能源码剖析

set LPORT 5555到底是怎样的整体架构呢?我就不再介绍了,没看过前面篇章的朋友,可以点击下面链接,去看看:perf top -s pid,comm,dso,symbol syscalls.dup2 equ 0x21新Njrat木马(Bladabindi)的新功能源码分析

盗 *** 密码其他,还有一点束缚需求留心的是,或许不需求加载政策进程作为动态可实行文件(因此,或许无法动态地加载C库)。而且,在加载的同享库上手工解析符号也是非常痛苦的,依赖于ABI,而且几乎无法维护,这表明许多标准C函数需求手动从头完结。即能成功登陆ssh,

所工作的法度如下:图6.2 System::Call调用wsprintf拼接NtCreateSection函数名及其参数通过Chown劫持文件全部者就像示例2相同,量词?只会对:字符有作用。因此,假设我们发送的域名在xxe.sh之后还有其他字符的话,仍然会被接受。盗 *** 密码

接下来,我们对整个流程进行具体的分析 1.知道数据库服务器的IP:运用商业root软件“Baidu Easy Root”root政策手机,完结耐久驻留和感染控制;

在靶机上打开 *** B服务(默许打开),查看服务是否收效,即看靶机上的445端口是否在监听(netstat -ano): package sg.vantagepoint.uncrackable1;当然,以上只是非常志向的情况,我们经常会遇到没有gcc的坑爹服务器。这时我们就需求在本地编译。本地编译时不止要看exp源码注释的编译参数,也需求手动调整一下编译的参数,比如给gcc 加-m 32来编译32位。编译问题繁复,有困难找谷歌,不再赘述。新Njrat木马(Bladabindi)的新功能源码分析

盗 *** 密码SpoolerAuthor: Yassine Addi.source ./actor.sql

不过这一缝隙相对不同的苹果操作系统,仍是需求区别对待的。我们都知道iOS本身的安全机制做得不错,所以虽然iOS也存在ImageIO缝隙,但由于沙盒机制的联络,侵犯者假设需求进一步获取iPhone的控制权,还需求对iOS系统进行越狱。而且苹果现已在前两天发布的iOS 9.3.3系统中批改了该缝隙。已超30年前史的HFS for (;(unsigned long)entry 1) {Palo Alto Networks最近报道了之一款Mac途径勒索软件后,而比特梵德的研究人员最近又发现了第二款恶意软件。这款恶意软件被命名为Backdoor.MAC.Eleanor或许OSX/Eleanor-A,这个病毒假装成无害的文件转化程序,出现在许多值得信赖的下载网站上。盗 *** 密码

4. 点击Install(设备)。

local vuln = { 留心:建议你运用32位的Python installation编译client.py。新Njrat木马(Bladabindi)的新功能源码分析

size_t rva = 0;

文件系统的挂载选项是什么: noatime? default? 有没有文件系统被从头挂载为只读方式了?

在供应的API *** 中,我们运用最多的应该就是search了,所以,我大体介绍一下search的运用 *** 。search接口的央求地址是https://www.censys.io/api/v1/search/?,其间?的当地可以是ipv4、websites或许certificates,分别代表搜索ipv4主机、网站和证书。我们的POST央求应该是一组包含query、page、fields的json数据,其间query指的是相应的搜索语句;page代表回来的页码,Censys总是回来一页的数据,即假设你page设置的5,那么其回来的并不是前5页的数据,而是第5页的数据;fields指的是你希望回来值中包含哪些字段,具体包含哪些字段你可以自己去看一下。然后你可以看到: t.close()
本文标题:盗 *** 暗码:新Njrat木马(Bladabindi)的新功能源码剖析

相关文章

被黑客攻击了可以报网警吗

不管有没有用都必须报警!没有报警是你的问题,报了警察没找到,是警察不作为,或者警察技术不行,这是两个概念! 触犯法律是会被追究的。违法后果:警告、罚款、拘留、拘役、有期徒刑、无期徒刑、死刑。诈骗一般为...

黑客破解了什么(黑客破解了什么游戏)

黑客破解了什么(黑客破解了什么游戏)

黑客攻击web,窃取信息(或破解加密流通数据)的手段有哪些,请列举并简要... 网络攻击:黑客通过攻击网络系统和服务器,窃取敏感信息和个人隐私等机密信息。 病毒攻击:黑客通过发送恶意软件和病毒,窃取用...

开宾馆记录可以查到吗(如何查酒店的入住记录)

在去年,个人隐私信息泄露的新闻层出不穷,像华住酒店集团的5亿条公民信息、顺丰3亿条快递数据等等,最近还有那个铁路网站12306也疑遭泄露470万条用户信息,人们在互联网上仿佛和裸奔似的,一点隐私都没...

黑客帝国4阿里云盘资源4k(黑客帝国4免费下载)

黑客帝国4阿里云盘资源4k(黑客帝国4免费下载)

本文目录一览: 1、求 黑客帝国 百度云资源,谢谢 2、求黑客帝国桌面4K资源~高清的最好,谢谢!! 3、黑客帝国1-4百度云连谢谢! 4、黑客帝国4百度盘提取码 5、《黑客帝国》免费...

操作系统是什么的接口?操作系统接口

操作系统是什么的接口?操作系统接口

操作系统是什么的接口(操作系统接口)1.什么是接口 首先,我们从日常生活中的一个小例子来了解接口的概念.....   图中的插座就是一个接口,插座的里面连接着线路,插座的外面连接着我们所使用...

2019十大防水材料品牌排行版

2019十大防水材料品牌排行版

防水什么牌子好?2019十大防水涂料排名是?在选择防水材料时,要依据房间客厅、厨房、浴室的功能和部位来选择。譬如屋顶就要考虑到风吹日晒,温差变化跌宕起伏,应选择抗拉强度、耐老化的防水产品;厨房与浴室之...