セキュリティコミュニティは、NjRatLimeEditionトロイの木馬が最近新しいランサムウェアコンポーネントで更新されたと報告しました. このハッキングツールがアンダーグラウンドハッカー市場とコミュニティの両方でコンピュータ犯罪者の間で人気があるという事実は、攻撃がすぐに開始される可能性が高いことを意味します. 予想される今後の攻撃は、グローバルレベルでネットワーク全体を奪う可能性があります. これが、NjRat Lime Editionトロイの木馬のすべての機能を分析することにより、そのトロイの木馬を詳細に調査している理由です。.
njRATLimeEditionトロイの木馬の概要: なぜそれが重要なのか
NjRat Lime Editionトロイの木馬は、セキュリティコミュニティによって最近特定された新しいマルウェアです。. 他の多くの中でユニークなのは、最初のリリースでも、高度な脅威に含まれるほとんどすべてのモジュールが含まれているという事実です。. その背後にあるプログラマーは、実行可能ファイルを地下サイトに無料で投稿しています。. 最新バージョンは 0.7.8 ほんの数日前にリリースされました.
危険な情報源から脅威のコピーを入手することができました. マルウェアのリモートハッキングツールとして宣伝されていると同時に、通知が届いていることに注意してください。 “教育目的のみ”. コミュニティによって追跡された最初の公開リリースバージョン (11/9/2017) 知られている 0.7.6. これにより、最新のアップデートはポイントリリースのみになります.
警告! この記事を教育目的でのみ準備するために、実行可能ファイルと関連ドキュメントを入手しました。. ハッキングやマルウェアの操作は容認しません.
NjRATLimeEditionトロイの木馬の配信方法
ハッカーの戦術に応じて、NjRATLimeEditionトロイの木馬はさまざまな戦術を使用して展開できます. 感染を引き起こす可能性のある方法の1つは、 ペイロードダウンローダー. これは、次の方法を使用して実現できます:
- 電子メールメッセージ —マルウェアオペレーターは、ボットを使用して、特定の感染ファイルをダウンロードして実行しているユーザーを脅迫することを目的としたテンプレートを容易にするメッセージを生成できます。. 実行可能ファイルのいずれかです, アーカイブまたはドキュメント. ダウンロードして実行すると、NjRATLimeEditionトロイの木馬による感染が開始されます。. ドキュメントの場合、マルウェアスクリプトは、広く使用されているほぼすべての形式で挿入できます。: データベース, プレゼンテーション, リッチテキストドキュメントとスプレッドシート.
- ダウンロード —感染したインスタンスをダウンロードポータルに配置し、ポップアップやWebリダイレクトを介して促進することができます.
- ブラウザハイジャッカー —危険なWebブラウザプラグインを使用して、このようなマルウェアをインストールできます. それらは通常、最も人気のあるアプリケーション用に作られています: Mozilla Firefox, グーグルクローム, サファリ, マイクロソフトエッジ, InternetExplorerとOpera.
NjRATLimeEditionトロイの木馬感染フェーズ: すべての始まり
NjRAT Lime Editionトロイの木馬がホストコンピュータに侵入すると、最初のアクションの1つは、実行中のデバッグまたはセキュリティインスタンスがないかシステムをチェックすることです。. 事実上、脅威はそれ自体を ステルス 仮想マシンの署名を検索する方法 (VirtualBoxとVMWware), サンドボックス環境, プロセス分析ユーティリティ (Process Explorer), ネットワークツール (Wireshark) およびその他のシステム管理ソフトウェア (ApateDNS). それらを削除または無効にできない場合、ウイルスは検出を回避するために自分自身を削除する可能性があります.
セキュリティアナリストは、感染が発生した直後に起動しない可能性があることも明らかにしました. これ “寝る” 関数は、ウイルスが最初の感染時にシステムを操作し始めると想定するアンチウイルスエンジンをだますために実装されます. NjRAT Lime Editionトロイの木馬は、 永続的なインストール これにより、手動によるユーザーの削除方法が効果的に防止されます. ユーザーの行動を継続的に監視し、プロセスに干渉する可能性のあるすべてのアクションを無効にします.
マルウェアのこの最初の段階で呼び出されるその他のアクションには、システムの変更が含まれます. これらは、フォローアップマルウェアアクションのためにシステムを準備するために意図的に作成されています. 例としては次のものがあります:
- 隠しクライアントの追加 — NjRAT Lime Editionトロイの木馬は、ユーザーやシステム管理者が簡単に識別できない隠れたプロセスを作成します. 新しいものを作成する機能があります, 既存のアプリケーションに接続し、その特権レベルを自由に変更します.
- マルウェアストッパー —トロイの木馬コードは、既存の感染を識別し、それらの制御を引き継ぐことができます。つまり、ハッカーは設定を操作したり、ウイルスを一時的に無効にしたりすることができます。.
- プラグインの追加 —コードを入手したハッカーは、モジュラーフレームワークにカスタムプラグインを追加することで、コードをさらに微調整することができます。.
- 難読化 —検出を防ぐために、感染エンジンと関連するすべてのファイルは、システムの場所に自分自身をコピーして、名前を難読化することができます. 拡張子とアイコンを変更することもできます.
NjRATLimeEditionのトロイの木馬機能
すべての基本的な感染アクションがNjRATLimeEditionトロイの木馬を完了すると、マルウェアはさらに続行します. エンジンは、ハッカーが感染したホストをリモートで制御できるようにするネットワーククライアントをセットアップします. セキュリティ分析によると、これにはシャットダウンや再起動などの電源オプションも含まれます. インターネットコマンドを介して、コンピュータにDDOSを実行するように指示することができます (分散型サービス拒否) 設定されたターゲットに対する攻撃. 最適な接続を容易にするために、オペレーターはクライアントに一時的にスリープするか、特定の間隔で再接続するように指示できます。. このトロイの木馬は、USBデバイスやその他のネットワークデバイスにも感染する可能性があります.
A NO-IP ダイナミックDNSサーバーをオプションでアクティブ化して、ボットネットをより効率的な方法で管理できるようにすることができます. 犯罪集団が作成されたマルウェアインフラストラクチャを他のハッカーに貸し出す可能性は非常に高いです。. 一方、コンピュータホストがトロイの木馬コードを完全に制御するようになると、悪意のあるユーザーは次のようないたずらのような設定を行うことができます。: マウスの反転, クリップボードの内容に手を出す, タスクバーの変更, モニターのオンとオフを切り替え、オペレーティングシステムのテキスト読み上げエンジンを介して音声メッセージを生成します. 重要なオペレーティングシステムコンポーネントを無効にしたり、削除したりすることもできます (タスクマネージャーとイベントビューアー), 削除されたログファイルと同様に.
システムの地域設定とユーザー構成をハイジャックすることで、犯罪者は自分の位置を把握できます. さらに、公共の地理データベースにはIPアドレスとその他すべての関連する値が提供され、被害者をより正確な場所に特定するのに役立ちます。. 情報収集に関しては、区別できる2つの主要なカテゴリがあります:
- 個人を特定できる情報 —収集されたデータは、本名などの情報を収集することにより、ユーザーのIDを直接公開できます。, 住所, 電話, 興味, 好みなど.
- システムデータ — NjRAT Lime Editionトロイの木馬には、ホストコンピュータから多くの機密情報を抽出する機能があります。, 利用可能なハードウェアコンポーネントを含む, インストールされているソフトウェアアプリケーションなど.
私たちの分析は、別の可能なユースケースシナリオがトレントシーダーであることを示しています. ハッカーは、利用可能なハードディスクスペースとネットワーク接続を利用して、比率を生成するトレントをシードすることができます (評価) リンクされたトレントトラッカーのアカウント. 多くの場合、コンテンツは違法です (海賊) 材料.
NjRATLimeEditionトロイの木馬のランサムウェアエンジンが公開されました
マルウェアの最新バージョンには、ランサムウェアコンポーネントが含まれるようになりました. その背後にあるハッカーは、最も有名なマルウェアファミリーの高度な株に匹敵する深いカスタマイズオプションをバンドルしています. 段階的な配信では、他のマルウェアアクションが完了した後にランサムウェアコンポーネントを起動できます. これは、ハッカーがユーザーデータをダウンロードしたい場合に特に当てはまります。, 暗号化フェーズを開始する前に実行する必要があります.
ランサムウェア自体は、ターゲットファイルタイプ拡張子のカスタマイズされたリストを使用する場合があります. 通常、ハッカーは、見つかったアーカイブなど、最も広く使用されているデータを含める傾向があります。, バックアップ, ドキュメント, 画像, 音楽, ビデオ, 構成ファイルなど. モジュラーフレームワークにより、ハッカーはホワイトリストとブラックリストを含めることもできます. 特定のフォルダの禁止は通常、ファイルが変更された場合にコンピュータに問題を引き起こす可能性のあるシステムフォルダに関連しています.
ランサムウェアプロセスが終了したら、被害者のファイルにスペシャリスト拡張子を追加して、被害者を簡単に識別できます。. ユーザーを脅迫してハッカーオペレーターに支払うために使用できる他の方法は、次のとおりです。:
- 壁紙の変更 —ハッカーは、ランサムウェアのメモの一部を表示できる壁紙の変更を開始できます.
- ランサムウェアノート —ランサムウェアのメモは通常、被害者を操作してハッカーに「復号化料金」を支払わせようとする恐喝戦術を使用するテキストファイルまたはリッチドキュメントで作成されます。.
- ロックスクリーンインスタンス —脅威が完全に除去されるまで、通常の対話を効果的にブロックするアプリケーションフレームを被害者のコンピューターに設定できます。.
NjRATLimeEditionトロイの木馬感染の結果
これを念頭に置いておくと、NjRAT Lime Editionトロイの木馬の全体的な機能により、ホストマシンを実質的に無制限に制御できます。. 犯罪集団が感染したホストの数が十分に多い場合、ボットネットを作成できます。. オペレーターが使用するグラフィカルユーザーインターフェイスにより、オペレーターは最も広く使用されているコマンドを簡単に起動できます。. ライブサンプルから抽出された完全なリストは、次のエントリを読み取ります:
- マネジャー —ハッカーが感染したホストの概要を受信できるようにします.
- ファイルの実行 —ホストコンピューターでターゲットファイルを実行します.
- リモートデスクトップ —ユーザーの画面とそのアクションをリアルタイムで表示するスパイモジュールを起動します.
- マイクロフォン —被害者のマイクを録音し、音声ファイルをハッカーのオペレーターに送信します.
- マルウェアキラー —シグネチャスキャンを介して検出されたマルウェアを無効にします.
- キーロガー —キーストロークとマウスの動きをハイジャックします.
- 永続性 —ユーザーによる手動による削除の試みを防ぐ方法でNjRATLimeEditionトロイの木馬を設定します.
- チャットを開く —ハッカーが被害者へのメッセージを作成してアプリウィンドウのポップアップとして表示できるようにします.
- スプレッドUSB —接続されたリムーバブルストレージデバイスに感染します.
- PC —侵入先のコンピュータからファイルを取得します.
- クライアント —クライアント設定を開きます.
- 開いたフォルダ —感染したホストのローカルドライブへのアクセスを許可する.
ユーザーは、高品質のスパイウェア対策ソリューションを使用して自分自身を保護できます. すべてのユーザーができるだけ早くシステムをスキャンすることをお勧めします.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: