埃及黑客基于njRAT工具包开发了新的间谍软件,被称为KillerRat,据称,该RAT能够规避几乎所有防病毒和防恶意软件的扫描和检测。

FreeBuf 小百科

njRAT,是一款远程控制工具,主要针对Android设备的RAT,其特征码如下,

00401318:  FF53 50                    CALL NEAR [DWORD DS:EBX+50]
00401346:  11FD                       ADC     EBP,EDI
0040170C:  FF15 DCB14200              CALL    NEAR [42B1DC]
0042A2F8:  CC                         INT3
0042A6BE:  E9 7402FEFF                JMP     0040A937
0042A942:  FD                         STD
0042FE10:  696F 6E 00AC014F           IMUL    EBP,[EDI+6E],4F01AC00
00432280:  6D                         INS     DWORD PTR ES:[EDI],DX

手里刚好有之前研究的样本,如需,请在下载链接中下载,除学习研究之外,请勿用做他途。

百度网盘下载    密码: fvnu

KillerRat与njRAT

相比于njRAT,该木马更加强大,黑客可以拥有更高级的操作执行权限,并且该木马在此前从未被识别出来。

而且,更加有趣的是,经分析,KillerRat是在njRAT工具包的基础上重新进行开发的。因此,也可以说该间谍工具是njRAT的更新版本,但是拥有更高级的侦测权限。

从执行平台上来看,njRAT的间谍功能只能针对Android设备,并不支持windows设备。而KillerRat仿佛是为了弥补njRAT的局限性,专门被设计用来侦测Windows PC的。

KillerRat的发现以及功能描述

网络安全供应商AlienVault,目前识别到了该间谍软件,同时进行了深入分析,确认了KillerRat实际上参考了njRAT的代码库。

据AlienVault分析所称,KillerRat有着令人惊叹的侦测能力,它可以使攻击者进行如下操作,

1、操作受害者PC的本地文件系统,本地进程以及本地注册表;‍‍
‍‍2、可针对PC远程执行脚本命令;
‍‍‍‍3、从浏览器上窃取密码;
‍‍4、开启键盘操作记录功能;
5、激活网络摄像头;
6、记录PC实时视频;
7、新建远程桌面会话;
8、将受害者的PC作为他们网络代理设备;
9、实施DDoS攻击并通过在用户的浏览器上打开一个网页运行自定义脚本,下载其他恶意软件到感染的计算机;
10、将收集到的信息传输到外部的C&C服务器。

KillerRat目前识别率很低

根据AlienVault的分析,这种新的间谍软件目前在全球35家大型防病毒厂商中,只被一家防病毒厂商所识别到。

KillerRat作者其人

KillerRat的作者叫Ahmed Ibrahim,与多数黑客相比,他较为与众不同。他在工具中留下了自己的真实姓名以及个人Facebook链接,Facebook 个人页面

当我们点击该链接的时候,我们登录到了Ahmed Ibrahim的 Facebook介绍页面,从Ibrahim在 Facebook的活动时间表上分析,我们可以推断KillerRat V4.0.1大概是在10月30号开始发布的。在之前的版本KillerRat v3.1.6和v2.9.6分别是在10月23日及10月18日开始发布的。

而经过调查,还获知的事实是,除了killerrat ,Ibrahim目前正在参与开发另一个工具叫Wedges Worm。

*参考来源:hackread,FB小编troy编译