HabitsRAT

HabitsRATは、Goプログラミング言語で記述された新しいマルウェアの脅威です。 Goを使用して作成されたマルウェアは、マルウェア対策製品による検出が難しいように思われるため、より多くのサイバー犯罪者がGoを具体的に使用し始めているようです。 HabitsRATの主な目的は、その名前が示すように、リモートアクセストロイの木馬(RAT)として機能し、攻撃者が侵害されたシステムを制御できるようにすることです。脅威がサイバーセキュリティアナリストによって最初に発見されたとき、それはMicrosoftExchangeサーバーを標的とした攻撃キャンペーンで展開されていました。ただし、それ以降、Linuxサーバーに感染する可能性のあるバリアントと一緒に新しいWindowsバリアントがリリースされました。

HabitsRATの設計は十分に単純に見えますが、その機能により脅威は非常に効果的になります。 WindowsおよびLinuxバージョンのコード構造は、「commandplatform_windows.go」、「keyplatform_windows.go」、および「persistencehandler_windows.go」ファイルに含まれているシステム固有のコードとかなり重複しています。実行時に、脅威のバイナリはドライブ上のフォルダにインストールされます-Windowsの場合は「%SystemDrive%WindowsDefenderMsMpEng.exe 」、Linuxの場合は「 $ HOME / .config / polkitd / polkitd 」。 HabitsRATによって実行される次のアクションは、その永続性メカニズムがすでに確立されているかどうかを確認することです。そうでない場合、脅威はWindowsで「xml」スケジュールされたタスクの作成に進みますが、Linuxでは「systemd」ユニットファイルを使用します。

暗号化キーを検証HabitsRATコマンド

脅迫ツールが他の当事者に乗っ取られないようにするために、サイバー犯罪者は暗号化機能を実装しました。 HabitsRAtは、公開暗号化を使用して、攻撃キャンペーンのコマンドアンドコントロール(C2、C&C)サーバーから受信したコマンドを暗号化および認証します。公開鍵と秘密鍵のペアは、ProtonMailオープンソースライブラリを使用して生成されます。

認証キーはディスクに保存されます。 LinuxバージョンのHabitsRATは、「 $ HOME / .config / .accounts-daemon /accounts-daemon.login.conf 」または「/usr/share/accounts-daemon/accounts-daemon.so」のいずれかに書き込みます。通常のユーザーとして署名されているかどうか。脅威のWindowsバージョンは、代わりに「%SystemDrive%WindowsDefenderMsMpEng.dll 」または「 %APPDATA%WindowsNTDefenderMsMpEng.dll 」を使用します。

コマンドを受信しない場合、HabitsRATは10秒間スリープしてから、C2サーバーに別の要求を送信します。すべての着信通信は、適切なキーを使用して脅威アクターによって署名される必要があります。

HabitsRATの新しいWindowsのバージョン

サイバーセキュリティの研究者は、Windowsシステムを標的とするHabitsRATバリアントの新しいバージョンを見つけました。 HabitsRATバージョン12は、前のバージョンと同じ機能の多くを備えているようです。主な違いは、HabitsRATが複数のC2アドレスをサポートするようになった一方で、新しいC2キーが必要になることです。より具体的には、4つの異なるアドレスが特定されており、脅威はそのうちの1つをランダムに選択します。アドレスのリストは2つのファイルに保存されます-' %SystemDrive%WindowsDefenderDefender.dll 'と
' %APPDATA%WindowsNTDefenderDefender.dll 。'

トレンド

最も見られました

読み込んでいます...