<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基网 首页 安全 取证分析 查看内容

              Lime RAT:多功能恶意软件分析

              2019-4-13 11:53| 投稿: xiaotiger |来自: 互联网


              免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

              摘要: 全球经典压缩包管理器——WinRAR被曝发现高危远程代码执行漏洞以来,这些高危漏洞已然成为不少网络攻击者“钻空作案”的“新宠”。近日,腾讯安全御见威胁情报?#34892;?#30417;测发现,一款名为“Lime-RAT”的远控木马正通过WinRAR高危漏洞(CVE-2018-20250)进行恶意传播。该木马可通过修改配置信息或者接收远程指 ...

              全球经典压缩包管理器——WinRAR被曝发现高危远程代码执行漏洞以来,这些高危漏洞已然成为不少网络攻击者“钻空作案”的“新宠”。近日,腾讯安全御见威胁情报?#34892;?#30417;测发现,一款名为“Lime-RAT”的远控木马正通过WinRAR高危漏洞(CVE-2018-20250)进行恶意传播。该木马可通过修改配置信息或者接收远程指令,对中毒电脑实行远程控制,甚至还会监视用户的剪切板,在用户进行数字货币交?#36164;?#23454;施“打劫?#20445;?#32473;用户信息和财产安全构成极大威胁。

              近日,Cofense Intelligence发现了一个使用Lime-RAT的网络钓鱼活动,然后?#20113;?#36827;行了分析。Lime RAT的代码是用C#编写的,并?#20197;?NET 4.0上。Lime RAT是恶意软件库的一部分,其中包括Lime_Miner、Lime_Crypter和Lime_USB。这种恶意软件是开源的,并?#26131;?#31216;是.NET恶意软件的教学工具。但是,由于功能丰富且记录良好,Lime RAT还可用于恶意行为。

              此恶意软件系列的一个有趣功能是使用多个端口进行通信,从而造成了通信通道冗余。Lime RAT构建?#25945;?#21644;面板的初始设置只需要两件事:端口号和AES(高级加密标准)128位加密密钥。端口号用于打开端口以侦听服务器,AES密钥用于加密?#31361;?#31471;和服务器之间的所有通信。图1显示了具有端口和AES密钥的初始设置?#26696;瘛?/p>



              图1. Lime RAT设置过程

              ?#34892;?#36127;载的构建器只包含复选框和文本输入字?#21361;?#21363;便是新手也可以使用这些字段来生成?#34892;?#30340;恶意二进制文件。此构建器可以让攻击者使用不同的功能和图标?#36828;?#20041;?#34892;?#36127;载。它还可以让攻击者在目标计算机上设置命令和控制(C2)基础结构以及永久性的删除文件。图2显示了可用于?#36828;?#20041;?#34892;?#36127;载的功能,包括反虚拟机。



              图2.Lime RAT?#34892;?#36127;载可用的功能

              Lime RAT?#34892;?#36127;载创建完成后,发送到目标机器并在目标机器?#29616;?#34892;时,二进制文件将连接到面板。当?#31361;?#31471;连接时,它会向控制面板发送信息,包含有关操作系统、CPU、用户、国家/地区等的详细信息。控制面板提供?#36828;?#20026;?#31361;?#31471;分配任务的选项,例如下载和执行特定文件。图3显示了控制面板,其中包含来自连接?#31361;?#31471;的信息,而图4显示了“OnConnect”?#36828;?#20219;务面板。



              图3.连接到C2基础设施的受感染?#31361;?#31471;计算机的控制面板视图


              图4.“OnConnect”?#36828;?#20219;务选项

              控制面板可以让攻击者右键单击所选机器并选择命令来操纵目标。攻击者可以进行以下攻击:启动勒索软件加密、删除Monero矿工、启用远程桌面协议(RDP)、窃取信息/加密货币?#21462;?/p>



              图5.目标机器的勒索软件?#25512;?#20182;插件


              图6.目标机器的键盘记录?#32479;?#20037;性选项

              勒索软件功能可以?#36828;?#20041;消息以及显示图像。使用此RAT的勒索软件功能加密目标主机时,文件扩展名将变为“.Lime”。图7显示了在启动加密后显示给用户的?#36828;?#20041;消息和默认图像。



              图7. Lime RAT的默认勒索信

              键盘记录功能在收集内容方面并不分先进。它只能收集键盘输入的内容,而不能收集?#36828;?#22635;充或从剪贴板添加的内容。但键盘记录器会输出显示时间戳以及写入文本的应用程序。图8显示了感染Lime RAT的计算机上正在运行的键盘记录器模块的控制面板输出内容。



              图8.键盘记录器模块收集的文本

              如前面图2所示,Lime RAT可以像蠕虫一样传播。构建?#34892;?#36127;载时,攻击者可以将“USB传播”和“固定任务栏应用程序传播”功能包含在?#34892;?#36127;载中。USB传播功能查找任何连接的类型2设备,然后尝试用Lime RAT可执行版本替换任何文件。执行此操作时,Lime RAT将保留现在已感染的文件的原始图标。通过替换这些图标链接的快捷方式路径,可以进一步传播。

              Lime RAT控制面板中的“Thumbnail”选项卡(图9)是受感染机器的屏幕截图。这个屏幕截图可以打开也可以关闭,并有一个计时器,屏幕截图之间的默认间隔为5秒。



              图9.“Thumbnail”选项卡,用于保存受感染计算机的屏幕截图

              登录Lime RAT并不像其他RAT那样先进。如下图所示,“Logs”选项卡仅记录连接?#25237;?#24320;连接的时间戳和IP。



              Lime RAT是一个开源的、文档齐全的.NET框架恶意软件套件,功能多样。这种恶意软件能够窃取大量有价值的信息、加密赎金、和/或将目标主机变成具有基本功能的机器人,规避防病毒软件、反虚拟机功能、占用空间小和加密通信会吸引越来越多的攻击者。

              本文作者:Gump,转载自:http://www.mottoin.com/detail/3870.html



              小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职?#26377;劍?/font>

              本文出自:https://www.toutiao.com/a6679188218052608525/

              免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


              鲜花

              ?#24080;?/a>

              雷人

              路过

              鸡蛋

              相关阅读

              最新评论

               最新
              返回顶部
              十一选五奖金对照表 瑞彩祥云好运快3 燕赵风采好运彩3 体彩20选5复式计算 云南11选5电视走势图 贵州十一选五开奖规则 极速飞艇计划软件 红双喜乒乓球官网 甘肃11选5任三 新11选5真假 龙江福彩p62开奖结 j江苏11选5开奖结果 河南十一选五奖金分配 福建体彩36选7开奖结果今晚开奖 g香港赛马会期 中国vs沙特