njRAT远程访问木马协议分析
来源:互联网 发布:托脉林阴囊托淘宝 编辑:程序博客网 时间:2024/05/21 00:21
第一节 简介
njRAT在2013年第一次出现,主要盛行于中东地区,在世界其他国家和地区也有广泛传播。njRAT 程序完美支持阿拉伯字符,有证据表明极端组织ISIS使用njRAT作为重要的网络武器。njRAT使用微软的 .NET框架开发,并像其他许多木马一样为远程攻击者提供了对被感 染系统的完全控制功能。我们已经看到攻击者利用被污染的流行游戏、破解软件及注册机来进行污染传播。njRAT木马因其广泛流传的在线支持和教程,已成为最成功的网络犯罪工具之一。与此同时,目前网络中也有较多.NET 混淆工具流传,使病毒检测相对困难,妨碍了安全研究人员的分析。
第二节 描述
第二章 样本包分析
请求报文都相同,以下的类型是按响应报文划分的,共有3种。
第一节 类型一
一、基本属性
二、报文分析
一、请求报文
lv|'|':猜测是代表建立连接,这里还有多种动作,后面会有说明
VHJvamFuX0M0NkY2RTk= :是base64编码,解码后为Trojan_C46F6E9,Trojan只是名字,C46F6E9代表卷的序列号
MARK:计算机名
user:用户名
2013-11-22:攻击者在爱害者机器中创建文件时的日期
日期和系统之前的||:没有显示,此处应为Systemlocale(系统区域,如中国、美国)
Win XP:操作系统信息
No:是否有相片设备
0.6.4:Njrat版本
0.6.4和endof之前的||:没有显示,若有内容应为base64编码,是攻击者相关行为的说明
endof:结束符
下图是使用njrat软件的截图,与上面信息基本一致,可以作为参考
上图中的下拉列表代表不同的动作,一般出现在报文开始的地方,就是lv|'|'|这个位置,下表是各动作在报文中的特征:
注:以上是从网上查找的资料,网址:http://www.threatgeek.com/2013/07/njrat-detection-rules-using-yara-.html
0 0
- njRAT远程访问木马协议分析
- 网络安全之史上最全的njRAT通信协议分析
- 什么是木马(Trojan)? 认识远程访问木马(RAT)
- 远程访问协议
- 使用rdp协议访问远程Linux桌面
- 使用rdp协议访问远程Linux桌面
- 远程IPC种植木马
- telnet协议远程登录的全面分析
- Chrome 远程调试协议分析与实战
- 几维安全分析“Xavier”安卓木马:可静默收集数据并远程代码执行
- 针对朝鲜的远程攻击木马Konni——技术分析与防护
- 轻度目录访问协议的分析
- 配置远程客户机使用命名管道协议访问SQL服务器
- Ubuntu配置远程访问的xrdp协议和teamviewer软件
- PCoIP vs HDX (CITRIX ICA)远程访问协议对比
- 配置远程客户机使用命名管道协议访问SQL服务器
- 远程盗QQ,不用木马
- 远程盗QQ,不用木马
- Activiti基础教程--08连线
- Unity资源热更之AssetBundle(3)———新版本AssetBundle
- 获取系统CPU的核数、软件CPU使用数、内存使用情况、IO读写情况
- eclipse项目update project时会修改项目的编码为gbk编码,导致中文乱码问题
- http协议与web本质
- njRAT远程访问木马协议分析
- tr td分合并单元格
- url编码 ascii编码 unicode编码
- 字符设备驱动
- Android studio快捷键
- NNU_20161124_5
- R学习
- ajaxSubmit上传图片不回调success函数
- Android的时间选择器