Canalblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Publicité
FloreSecurity - Lab
26 décembre 2019

Analyse NjRAT Danger Edition - Cheval de Troie en papier mâché.

NjRAT Danger Edition, c'est le nouveau modèle de cheval de Troie R.A.T tout public, copier coller par des script kiddies, pour des lamers.

*Script Kiddies: un "Hacker" utilisant les codes des autres. Généralement, ce type de "Hacker" copie colle un programme et met sont nom dessus sans rien améliorer.

*Lamer: un "Hacker" utilisant des logiciels tout fait.

 

Le programme malveillant est signé "Fransesco"... Qui est-ce?

 

Nous allons ici montrer pourquoi ce cheval de Troie est une énième réédition inutile, et qu'elle mérite de tomber dans l'oublis, tout comme NjRAT Lime Edition.

 

Je me suis procuré le programme en question histoire de voir les "nouveautés".
Jais créer via le panel un cheval de Troie que jais exécuter sur un de mes ordinateurs personnel.

Jais mis full option.

Chiffrement, Hide Server, protection du processus, persistance via tâche planifiée, clés de registre et fichiers de démarrages, protections anti décompileur/antivirus etc etc.

Pas mal d'option, je le concède volontiers. Mais attendez, vous allez voir.

Le programme a été lancé contre le prototype d'Antivirus de FloreSecurity.

Celui ci la aussitôt détecté sous 5 définitions.

1 - Il a détecté des capacités de chargement/modification de fichiers/chiffrement, ce qui lui a fait pensé a un Ransomware.
2 - Il a détecté des capacités d'interception/lecture des touches clavier, ce qui lui a fait pensé a un Spyware Keylogger.
3 - Il a détecté des capacités de lecture/d'écriture de mémoire d'instance, ce qui lui a fait pensé a un RootKit de Ring 3.
4 - Il a détecté des capacités de listing des périphériques USB, en plus de la création/modification de fichiers, ce qui lui a fait pensé a un ver USB.
5 - Il a détecté des capacités de création de répertoires/copie de fichier/modification de fichier, ce qui lui a fait pensé a un installeur.

Donc déjà, pour l'anti décompileur/antivirus, et le chiffrement, vas falloir repasser.

Source: Externe

 

S'il est de moins en moins rare de voir dans ce genre de HackTool/ToolKit des capacités de Ransomware, le Keylogging c'est une institution chez eux.

Les vers USB, la encore, présent dans majorité des chevaux de Troie R.A.T. Pas toujours très efficace, mais courant.

Par contre, un RootKit de Ring 3? Attendez. Ce genre de RootKit qui servent généralement a cacher une instance de processus des listing (taskmanager etc)?

Je me suis dit: Woaw. Les mecs on mis les moyens, c'est pas énorme, mais c'est mieux que NjRAT Lime Edition.

Puis en regardant en "profondeur" dans le code, jais trouver des strings et des fonctions qui m'étais familière, dont: "NtOpenProcess_AsmOpCode", "NtReadVirtualMemory_AsmOpCode", "NtQuerySystemInformation_AsmOpCode".

Je n'est même pas eu besoin de chercher dans mes fichiers.
Le RootKit est bien un RootKit de Ring 3, il a été codé par le programmeur Menalix, a but éducatif, il y a quelques années en arrière.

 

Les mecs, sans pression, on copier coller le code du module du RootKit dans NjRAT 7, on fait le raccord, et on renommé leur NjRAT "NjRAT Danger Edition"...

Ces minables aurais pus changer le nom de certaines fonctions. Histoire que ça paraisse pas du 100 pour 100 copier coller.

 

Petite précision sur les RootKits de Menalix.

Ils ne fonctionnent que sur les architectures 32 bits, et sont parfaitement détectable par les bons Antivirus avant infection, pendant infection, et après infection.

 

Et pour conclure, l'installeur...

Je vous est dit au début d'article que j'avais générer moi même le Cheval de Troie.

Généralement, un cheval de Troie bien construit est délivré après paramétrage de la façon suivante.
Un installeur qui importera d'une source extérieur, ou compilera lui même le programme malveillant, afin d'éviter une détection prématuré.

Sur ce cheval de Troie, il y a le programme malveillant, qui se contente de vérifier qu'il est bien dans le répertoire définit lors du paramétrage.

S'il n'est pas au bon emplacement, il se copie et ferme l'instance d'éxécution pour laisser champ libre a la nouvelle instance.

Preuve de plus que la détection est possible. Si votre Antivirus ne détecte pas ce programme, c'est qu'il faut en changer.

 

Jais envoyer le programme a VirusTotal. Avec un ratio de 46 Antivirus capable de détecter le programme malveillant, sur 69.

Lien du rapport: https://www.virustotal.com/gui/file/5c12861ef842bc9c48efe1ebdf756a3383726fef362d501583c326508c69bf13/detection

NjRAT "Danger" Edition est un énième programme bidon, dont la puissance n'est pas supérieur a celle d'un NjRAT 7 standard.

Et je commence a être allergique a ce genre de programme.

 

Vincent Léon Flores.

Posté par FloreSec73 à 19:16 - Commentaires [] - Permalien [#]
Tags: NjRATRemote Administration ToolTrojanCybersécurité

Partager cet article

Vous aimez ?
0 vote
FloreSecurity - présentation
Analyse 888 RAT - l'ange qui n'en es pas un...
Vous aimerez aussi :
Démystification - La bande a RootKit
Démystification - La bande a RootKit
NjRAT 10, 11, 12, BLA, BLA, BLA ...
NjRAT 10, 11, 12, BLA, BLA, BLA ...
Emotet n'est pas mort.
Emotet n'est pas mort.
WSH RAT - vous en avez fait tout en plat...
WSH RAT - vous en avez fait tout en plat...
Publicité
Publicité
Commentaires
FloreSecurity - Lab
  • FloreSecurity est une entreprise Savoisienne de sécurité informatique. Vous trouverez ici une partit de ces travaux de recherche en cybersécurité. Bonne visite sur notre blog. Cordialement, Vincent Léon Flores.
  • Accueil du blog
  • Créer un blog avec CanalBlog
Publicité
Recherche
Archives
Publicité