远程控制家族njRAT分析报告

近日,安天CERT(安全研究与应急处理中心)在梳理网络安全事件时,注意到njRAT远程控制家族样本在今年四月份比较活跃,njRAT是一类著名的远程控制恶意代码。使用.NET框架编写,目前存在多个变种,诸多变种采取混淆代码模式防止恶意代码逆向分析和杀毒软件的检测。主要利用捆绑流行的游戏、破解软件及注册机来进行传播,曾用于“人面狮”APT攻击行动中。

njRAT远程控制恶意代码又称Bladabindi,主要靠插件来升级恶意代码的新功能,主要插件有sc2.dll(远程桌面控制插件)、ch.dll(实现与受控端的聊天对话功能)、pw.dll(实现对受控端密码内容的抓取)。

恶意服务端样本运行后,创建互斥体、添加防火墙规则、在临时目录下释放样本本身、获取计算机名、获取主机用户名、添加启动项:SOFTWARE\Microsoft\Windows\CurrentVersion\Run。核心恶意功能包括:操控受控者的文件、进程、服务、注册表、键盘记录、抓取屏幕、浏览保存密码、摄像头监控、麦克风监控等功能。最后将获取的敏感信息通过BASE加密发送至远程C&C服务器。

该恶意代码为了防止杀毒软件的查杀,将获取的用户计算机的键盘记录加密保存在注册表中同时将相应插件也保存到注册表键值中。需要回传时,将读取注册表内容进行回传。

安天CERT提醒广大网络使用者,要提高网络安全意识,在日常工作中要及时进行系统更新和漏洞修复,不要随意下载非正版的应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠,更加不要随意点击或者复制邮件中的网址,不要轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的好习惯。目前,安天追影产品已经实现了对该类样本的检出。