您的位置:首页 > 互联网 > 正文

njRAT Trojan操作员现在正在使用Pastebin替代中央命令服务器

发布时间:2021-03-06 11:13:28  编辑:  来源:

避免使用C2基础架构可以帮助黑客避免检测。njRAT远程访问的运营商正在利用Pastebin C2隧道来避免网络安全研究人员的审查。

上周三,Palo Alto Networks的第42单元网络安全小组表示, njRAT(也称为Bladabindi)被用来从Pastebin下载并执行二级有效载荷,从而完全不需要建立传统的命令和控制(C2)服务器。

至少从十月开始,运营商就使用文本存储和发布平台Pastebin作为形式和形状不同的有效载荷的宿主。在某些情况下,转储是base64编码的,在其他情况下,十六进制和JSON数据掩盖了转储的真实性质,一些是压缩的blob,而另一些则是包含嵌入式恶意URL的纯文本指令。

该团队表示,njRAT变体将调用链接到Pastebin的缩短URL,以“逃避安全产品的检测并增加不被注意的可能性”。

njRAT是在.NET中开发的,是一种广泛使用的特洛伊木马,它能够远程劫持受感染计算机的功能,包括截取屏幕截图,泄露数据,键盘记录以及杀死诸如防病毒程序之类的进程。另外,RAT能够执行辅助恶意负载,并将受感染的PC连接到僵尸网络。

正如研究人员所描述的,目前正在使用的“ Pastebin C2隧道”在njRAT感染和新的有效载荷之间建立了一条通道。在特洛伊木马充当下载程序的情况下,它将抓取转储到Pastebin上的编码数据,进行解码和部署。

在小组查看的样本中,一个有效载荷被解码为.NET可执行文件,该可执行文件滥用Windows API功能进行键盘记录和数据盗窃。在功能上类似的其他样本需要多层解码才能显示最终的有效负载。

在Pastebin上伪装的JSON格式的数据被认为有可能充当恶意软件的配置文件。Pastebin转储也已用于指向软件下载,包括指向ProxyScraper的链接。

帕洛阿尔托说,基于Pastebin的命令体系结构仍然处于活动状态,并且被RAT用来传递辅助负载。

该小组说:“基于我们的研究,恶意软件作者有兴趣将其第二阶段有效负载托管在Pastebin中,并对此类数据进行加密或混淆处理,以规避安全解决方案。” “恶意软件作者可能会长期使用Pastebin之类的服务。”

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。
版权声明: 本站若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。转载文章是出于传递更多信息之目的。
版权所有: 阜新生活网 ·(2019-2021) .闽ICP备20009870号-2. 联系QQ:173 0547 905 .