NjRAT 样本分析教学文档<\/h1>

1. 概述<\/h2>
NjRAT（又称为 Bladabindi）是一款带有图形用户界面（GUI）的远程访问工具（RAT），允许攻击者远程控制和监视受害者计算机。该恶意软件具有键盘记录、截图捕获、文件操作和数据窃取等功能，被广泛用于各种网络犯罪活动。<\/p>

1.1 历史背景<\/h3>

最早的 NjRAT 由名为 M38dHhM 的组织创建，据信位于阿拉伯语国家，主要针对中东地区<\/li>

自 2013 年其源代码泄露后，出现了多个修改版本：

NjRAT 0.7d Danger Edition<\/li>
NjRAT 0.7d Golden Edition<\/li>
NjRAT 0.7d Green Edition<\/li>

NjRAT Lime Edition<\/li> <\/ul> <\/li> <\/ul>

2. 环境配置<\/h2>

2.1 实验环境搭建<\/h3>

硬件要求：<\/strong><\/p>

三台虚拟机：

两台 Windows 10 Pro x64（攻击端和受害端）<\/li>
一台 Windows XP SP3（兼容性测试）<\/li> <\/ul> <\/li> <\/ul>
网络配置：<\/strong><\/p>

攻击端与受害端位于同一局域网<\/li>
兼容性测试环境独立设置<\/li> <\/ul>
拓扑架构：<\/strong><\/p>

攻击端（C2服务器） → 受害端（被控主机）<\/li>
独立兼容性测试环境用于对比分析<\/li> <\/ul>
2.2 NjRAT 控制端配置<\/h3>

运行 NjRAT 控制端程序<\/li>
设置 C2 服务器监听端口<\/li>
通过 Builder 选项生成客户端可执行文件<\/li> <\/ol>
2.3 攻击流程<\/h3>

受害端运行生成的 exe 文件<\/li>
控制端面板显示主机上线<\/li>
攻击者通过 C2 控制端下发指令<\/li> <\/ol>
3. 静态分析<\/h2>
3.1 基本信息分析<\/h3>
工具使用：<\/strong><\/p>

DIE（Detect It Easy）用于文件格式识别<\/li>
pestudio 用于导入函数和字符串分析<\/li> <\/ul>
关键发现：<\/strong><\/p>

文件格式：Win32 PE，VB.NET 编译，基于 .NET Framework 2.0<\/li>
特征识别：DIE 识别为 NjRAT 0.7D Green Edition Malware<\/li>
香农熵：低于5，表明未加壳或加密<\/li>
功能特征：修改注册表、关闭计算机、禁用任务管理器、修改防火墙策略<\/li> <\/ul>
3.2 代码反编译分析<\/h3>
使用工具：<\/strong> dnSpy（.NET 反编译器）<\/p>
入口点分析：<\/strong><\/p>

主入口点：main() 函数 → OK.ko() 函数<\/li> <\/ul>
启动流程：<\/strong><\/p>

参数检测：<\/strong><\/p>

检测程序启动参数<\/li>
存在参数时在注册表 HKEY_CURRENT_USER 写入 di 值<\/li>
延迟5秒执行<\/li> <\/ul> <\/li>

互斥体创建：<\/strong><\/p>
' 创建互斥体确保单实例运行 <\/span><\/span><\/span>' 创建失败则终止当前实例 <\/span><\/span><\/span><\/code><\/pre><\/li> 安装函数 INS()：<\/strong><\/p> 自复制安装到系统目录<\/li> 添加防火墙例外规则<\/li> 注册表自启动（Run项）<\/li> 启动文件夹自启动<\/li> 终止指定进程（杀毒软件）<\/li> 隐藏自身文件<\/li> USB传播机制<\/li> <\/ul> <\/li> 清理函数 UNS()：<\/strong><\/p> 提供自我清理功能<\/li> <\/ul> <\/li> <\/ol> 线程管理：<\/strong><\/p> RC() 线程：接收 C2 数据包<\/li> kq.WRK() 线程：键盘记录功能<\/li> mgr.protect() 线程：进程自我保护<\/li> <\/ul> 数据传输：<\/strong><\/p> 使用 Base64 编码进行通信<\/li> <\/ul> 自我保护机制：<\/strong><\/p> 正常关机：正常结束进程<\/li> 强行终止：触发蓝屏死机（BSOD）<\/li> <\/ul> 主循环框架：<\/strong><\/p> 每秒循环一次<\/li> 内存优化：每5秒降低内存占用<\/li> 心跳机制：维持与C2连接<\/li> 活动窗口监控：每8秒检测并上报<\/li> 自启动维护：持续检查注册表启动项<\/li> <\/ul> 4. 动态分析<\/h2> 4.1 基于 Process Monitor 的行为分析<\/h3> 启动阶段行为：<\/strong><\/p> 注册表操作：<\/strong><\/p> 写入 di = "!" 作为启动标记<\/li> 创建注册表配置根键保存受害者ID等信息<\/li> <\/ul> <\/li> 网络配置：<\/strong><\/p> 调用 netsh 添加防火墙例外<\/li> <\/ul> <\/li> 持久化机制：<\/strong><\/p> 注册表 Run 项持久化<\/li> 启动文件夹隐藏文件创建<\/li> 定期检查维护自启动项<\/li> <\/ul> <\/li> 传播行为：<\/strong><\/p> USB传播：在各磁盘根目录创建： svchost.exe（恶意程序副本）<\/li> autorun.inf（自动执行配置）<\/li> <\/ul> <\/li> 现代系统限制：Windows 7+ 系统对U盘autorun有限制<\/li> <\/ul> <\/li> 进程保护：<\/strong><\/p> 设置 ProcessInformationClass = 29<\/li> 标记为关键进程，强行终止导致BSOD<\/li> 可通过PCHunter等内核工具解除保护<\/li> <\/ul> <\/li> <\/ol> 4.2 基于 Wireshark 的网络通信分析<\/h3> 通信协议分析：<\/strong><\/p> 初始握手：<\/strong><\/p> TCP三次握手建立连接<\/li> 第一条消息（明文+Base64）：机器ID（Base64）<\/li> 主机名、用户名、系统信息等（明文）<\/li> <\/ul> <\/li> <\/ul> <\/li> 系统信息上报：<\/strong><\/p> 第二条消息（Base64编码）：受害者详细信息<\/li> 可执行文件位置<\/li> NjRAT配置选项<\/li> <\/ul> <\/li> <\/ul> <\/li> 功能通信：<\/strong><\/p> 键盘记录：<\/strong> kl命令 → Base64编码的击键日志<\/li> 远程桌面：<\/strong> CAP命令 → JPEG格式屏幕截图流<\/li> 密码窃取：<\/strong> pas命令 → 下载Pass.exe扫描密码<\/li> <\/ul> <\/li> <\/ol> 4.3 基于在线沙箱的行为分析<\/h3> 真实攻击场景分析：<\/strong><\/p> 投递方式：<\/strong> 通过钓鱼文档（PowerPoint插件）<\/li> 执行链：<\/strong> 文档宏 → POWERPNT.EXE → 释放NjRAT载荷<\/li> 检测标签：<\/strong> macros、rat、njrat等<\/li> <\/ul> 5. 防御建议<\/h2> 5.1 检测指标<\/h3> 网络特征：<\/strong> Base64编码的C2通信<\/li> 文件特征：<\/strong> 特定目录的隐藏可执行文件<\/li> 注册表特征：<\/strong> 异常自启动项<\/li> 进程特征：<\/strong> 关键进程标记<\/li> <\/ul> 5.2 防护措施<\/h3> 系统加固：<\/strong><\/p> 禁用不必要的Office宏<\/li> 限制U盘自动运行功能<\/li> 定期更新系统补丁<\/li> <\/ul> <\/li> 监控检测：<\/strong><\/p> 网络流量监控（Base64通信模式）<\/li> 进程行为监控（异常的关键进程）<\/li> 注册表变更监控<\/li> <\/ul> <\/li> 应急响应：<\/strong><\/p> 使用专业工具（如PCHunter）处理受保护进程<\/li> 全面清理注册表和文件系统<\/li> 网络隔离和密码重置<\/li> <\/ul> <\/li> <\/ol> 6. 总结<\/h2> NjRAT作为一款功能完整的远程访问木马，具有高度的隐蔽性和持久化能力。通过深入分析其静态特征和动态行为，可以有效提升对此类威胁的检测和防御能力。现代防御需要结合行为监控、网络流量分析和系统加固等多层次防护策略。<\/p>