遠(yuǎn)控工具Njrat怎樣實(shí)現(xiàn)一鍵加密與解密測(cè)試

遠(yuǎn)控工具Njrat怎樣實(shí)現(xiàn)一鍵加密與解密測(cè)試，相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

0x0 背景    

njRAT至少自2013年以來(lái)一直存在，是最流行的惡意軟件系列之一。該惡意軟件內(nèi)置于.NET Framework中，可為攻擊者提供對(duì)受感染系統(tǒng)的遠(yuǎn)程控制，利用動(dòng)態(tài)DNS進(jìn)行命令和控制（C＆C），并在可配置端口上使用自定義TCP協(xié)議進(jìn)行通信。被稱為njRAT Lime Edition的新惡意軟件版本包括對(duì)勒索軟件感染，比特幣采集卡和分布式拒絕服務(wù)（DDoS）的支持，同時(shí)還能夠記錄擊鍵，通過USB驅(qū)動(dòng)器傳播，竊取密碼和鎖定屏幕。 

0x1 實(shí)驗(yàn)

實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)，這里搭建了模擬了一下勒索的場(chǎng)景。

現(xiàn)在先在攻擊機(jī)上面安裝好了Njrat Lime Edition版本，這個(gè)版本比上個(gè)版本的文件結(jié)構(gòu)感覺更加清晰一些。

設(shè)置好port與key之后運(yùn)行服務(wù)端，在生成客戶端的時(shí)候這里可以生成client或者downloader。

生成客戶端的時(shí)候有了更多的選項(xiàng)，特別明顯的地方就是多了比特幣采集卡其他常用功能也都一一具備：

ü 隱藏文件路徑

ü U盤傳播

ü 干掉殺軟

ü 開機(jī)啟動(dòng)

ü 添加注冊(cè)表

ü 守護(hù)進(jìn)程

將生成好的Client在Victim機(jī)器上面運(yùn)行之后服務(wù)端可以收到一個(gè)連接的sessions，展示了關(guān)于Victim上面的一些計(jì)算機(jī)信息。

 對(duì)受害者進(jìn)行操作就可以發(fā)現(xiàn)多了很多常用的功能，比如一鍵勒索、比特幣、壓力測(cè)試(slowis) 、Bypass UAC、干掉殺軟、關(guān)機(jī)刪Cookie等功能，居然還有一個(gè)torrent。

這里測(cè)試一下一鍵勒索加密：

客戶端的文件被加密成了Lime結(jié)尾的文件、桌面背景也被更改：

 一鍵decrypt之后文件已經(jīng)恢復(fù)：

0x2 受害端的情況

在受害端的機(jī)器上可以看到進(jìn)程在運(yùn)行，文件路徑在APPDATA這個(gè)隱藏目錄下面，且無(wú)父進(jìn)程。

已經(jīng)添加了開機(jī)啟動(dòng)項(xiàng)與注冊(cè)表：    

最后還可以用textMessages留個(gè)言：

0x3 防護(hù)建議

1.此類攻擊方式較多通過郵件附件進(jìn)行傳播，對(duì)于可疑的郵件附件要謹(jǐn)慎、謹(jǐn)慎、再謹(jǐn)慎。

2.捆綁軟件安裝也是常用的一種傳播方式，建議到軟件官網(wǎng)與可信第三方軟件進(jìn)行下載。

3.本地安裝安全軟件及時(shí)查殺出惡意文件。

4.安全無(wú)小事，日常需謹(jǐn)慎，提升安全知識(shí)，日常逛Freebuf。

看完上述內(nèi)容，你們掌握遠(yuǎn)控工具Njrat怎樣實(shí)現(xiàn)一鍵加密與解密測(cè)試的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！