避免使用C2基础架构可以帮助黑客避免检测。njRAT远程访问的运营商正在利用Pastebin C2隧道来避免网络安全研究人员的审查。
上周三,Palo Alto Networks的第42单元网络安全小组表示, njRAT(也称为Bladabindi)被用来从Pastebin下载并执行二级有效载荷,从而完全不需要建立传统的命令和控制(C2)服务器。
至少从十月开始,运营商就使用文本存储和发布平台Pastebin作为形式和形状不同的有效载荷的宿主。在某些情况下,转储是base64编码的,在其他情况下,十六进制和JSON数据掩盖了转储的真实性质,一些是压缩的blob,而另一些则是包含嵌入式恶意URL的纯文本指令。
该团队表示,njRAT变体将调用链接到Pastebin的缩短URL,以“逃避安全产品的检测并增加不被注意的可能性”。
njRAT是在.NET中开发的,是一种广泛使用的特洛伊木马,它能够远程劫持受感染计算机的功能,包括截取屏幕截图,泄露数据,键盘记录以及杀死诸如防病毒程序之类的进程。另外,RAT能够执行辅助恶意负载,并将受感染的PC连接到僵尸网络。
正如研究人员所描述的,目前正在使用的“ Pastebin C2隧道”在njRAT感染和新的有效载荷之间建立了一条通道。在特洛伊木马充当下载程序的情况下,它将抓取转储到Pastebin上的编码数据,进行解码和部署。
在小组查看的样本中,一个有效载荷被解码为.NET可执行文件,该可执行文件滥用Windows API功能进行键盘记录和数据盗窃。在功能上类似的其他样本需要多层解码才能显示最终的有效负载。
在Pastebin上伪装的JSON格式的数据被认为有可能充当恶意软件的配置文件。Pastebin转储也已用于指向软件下载,包括指向ProxyScraper的链接。
帕洛阿尔托说,基于Pastebin的命令体系结构仍然处于活动状态,并且被RAT用来传递辅助负载。
该小组说:“基于我们的研究,恶意软件作者有兴趣将其第二阶段有效负载托管在Pastebin中,并对此类数据进行加密或混淆处理,以规避安全解决方案。” “恶意软件作者可能会长期使用Pastebin之类的服务。”