njRAT远程访问木马协议分析

第一节    简介

njRAT在2013年第一次出现，主要盛行于中东地区，在世界其他国家和地区也有广泛传播。njRAT 程序完美支持阿拉伯字符，有证据表明极端组织ISIS使用njRAT作为重要的网络武器。njRAT使用微软的 .NET框架开发，并像其他许多木马一样为远程攻击者提供了对被感 染系统的完全控制功能。我们已经看到攻击者利用被污染的流行游戏、破解软件及注册机来进行污染传播。njRAT木马因其广泛流传的在线支持和教程，已成为最成功的网络犯罪工具之一。与此同时，目前网络中也有较多.NET 混淆工具流传，使病毒检测相对困难，妨碍了安全研究人员的分析。

第二节 描述

第二章 样本包分析

请求报文都相同，以下的类型是按响应报文划分的，共有3种。

第一节    类型一

一、基本属性

二、报文分析

一、请求报文

lv|'|'：猜测是代表建立连接，这里还有多种动作，后面会有说明

VHJvamFuX0M0NkY2RTk= ：是base64编码，解码后为Trojan_C46F6E9，Trojan只是名字，C46F6E9代表卷的序列号

MARK：计算机名

user：用户名

2013-11-22：攻击者在爱害者机器中创建文件时的日期

日期和系统之前的||：没有显示，此处应为Systemlocale（系统区域，如中国、美国）

Win XP：操作系统信息

No：是否有相片设备

0.6.4：Njrat版本

0.6.4和endof之前的||：没有显示，若有内容应为base64编码，是攻击者相关行为的说明

endof：结束符

---

下图是使用njrat软件的截图，与上面信息基本一致，可以作为参考

 

上图中的下拉列表代表不同的动作，一般出现在报文开始的地方，就是lv|'|'|这个位置，下表是各动作在报文中的特征：

注：以上是从网上查找的资料，网址：http://www.threatgeek.com/2013/07/njrat-detection-rules-using-yara-.html