Nood RAT 攻击 Linux 服务器窃取敏感数据

Nood RAT是一种用于针对Linux服务器的恶意软件攻击工具，旨在窃取敏感信息。它是Gh0st RAT的Linux兼容变体之一。

Nood RAT具有后门功能，可以执行恶意操作，例如下载恶意文件、窃取内部系统文件以及执行命令等。尽管其形式简单，但它能够接收来自威胁行为者的命令，执行各种有害操作。此软件具备加密功能，可规避网络数据包识别。

分析Nood RAT的恶意软件文件、网络、模块和注册表活动可通过使用恶意软件沙箱和威胁情报查找工具，例如ANY.RUN。通过威胁情报查找，用户可以直接从浏览器与操作系统进行交互。

根据AhnLab安全情报中心（ASEC）报告，Nood RAT的压缩文件通常包括一个名为“NoodMaker.exe”的构建程序、一份发行说明以及一个名为“Nood.exe”的后门控制程序。威胁参与者在创建NoodMaker时可根据目标系统的架构选择并使用匹配的x86或x64二进制文件。

Nood RAT 生成器

Nood RAT 的功能之一是可以将其冒充为真实的程序。威胁行为者可以在开发阶段选择恶意软件的虚假进程名称。

该恶意软件在首次启动时使用 RC4 算法来解密加密数据。解密后的该字符串包含必须修改的进程的名称。

“恶意软件解密的配置数据主要分为 C&C 服务器地址、激活日期和时间以及 C&C 连接尝试间隔。威胁行为者可以设置该恶意软件可以与 C&C 服务器通信并接收命令的激活日期和时间”。ASEC 研究人员与《网络安全新闻》分享说到。

受感染系统的信息发送到C&C服务器

Nood RAT支持的四个主要功能是端口转发、Socks代理、远程shell、文件管理和远程shell。

威胁行为者可以利用它来上传和下载文件、在受感染的系统上执行恶意命令以及窃取数据。由于其源代码向公众开放，威胁行为者继续在攻击中使用这些代码，恶意软件开发人员也一直在利用它来创建各种变体。

此前使用Nood RAT的攻击包括WebLogic漏洞攻击（CVE-2017-10271） 和2020年的Cloud Snooper APT攻击。用户应始终将相关系统升级到最新版本，并检查其凭据或环境配置，以防止此类安全问题。

转自安全客，原文链接：https://www.anquanke.com/post/id/293471