T-RAT 2.0 control de malware a través de un teléfono inteligente

Los vendedores de malware quieren atraer clientes con funciones de conveniencia. Ahora los delincuentes pueden controlar de forma remota el malware durante su rutina de baño con solo usar un teléfono inteligente y la aplicación Telegram.

Anuncios en foros rusos

El investigador @ 3xp0rtblog descubrió T-RAT 2.0 y publicó sobre él en Twitter , incluido un hash de muestra y la venta de hilos en foros rusos. A continuación, se muestra un anuncio extravagante.

Las imágenes a continuación muestran una sección de cada uno de un banner publicitario de 1000×5429 publicado en lolz.guru (encontrado e informado por 3xp0rtblog). El texto en ruso elogia la comodidad y la conveniencia al usar T-RAT porque se puede controlar a través de un teléfono inteligente con la aplicación Telegram.

Traducción: “Una RAT actualizada y completa, en su bolsillo. Obtenga acceso y use ahora todas las funciones. Controle desde cualquier dispositivo, todo lo que necesita para que funcione son Internet y T-RAT”

Traducción: “Ventajas: por qué debería considerar comprar: comodidad y conveniencia, control simple, gran funcionalidad a un costo agradable, anonimato y confiabilidad, actualizaciones y mejoras, limpieza de detectores”

Cadena de infección y persistencia

La primera etapa conocida de la infección es el descargador [4] . Obtiene un archivo cifrado [6] de hxxps: //hgfhhdsf.000webhostapp.com/1DJjnw (dot) jpg y lo guarda en  % TEMP% / gfdggfd.jpg .

Para descifrar la carga útil, el descargador aplica XOR con la clave 0x01. El archivo resultante es un archivo ZIP que se guarda en % TEMP% / hrtghgesd .zip . El descargador procede a eliminar % TEMP% / gfdggfd.jpg y extrae el archivo ZIP. Nota al margen: Ambos nombres codificados constan de caracteres cuyas teclas están una al lado de la otra en un teclado QWERTY, por lo que es probable que el actor de amenazas simplemente haya rodado una parte del cuerpo en el teclado para crearlos.

La ubicación del malware extraído se determina de la siguiente manera:

1) El descargador comprueba si el usuario actual tiene derechos de administrador. Si es así, la primera parte de la ruta es una de las siguientes (elegida al azar)

  • % APPDATA% \ Microsoft \ Windows \
  • % PERFIL DE USUARIO% \ Windows \ System32 \
  • % LOCALAPPDATA% \ Microsoft \ Windows \

Si no tienen derechos de administrador, la primera parte de la ruta es una de las siguientes

  • % SYSTEM% \ Microsoft \ Protect \
  • % COMMONAPPDATA% \ Microsoft \ Windows \
  • % PERFIL DE USUARIO% \ AppData \ LocalLow \ Microsoft \ Windows \
  • C: \ Windows \ ensamblaje \ GAC \

2) Para la segunda parte de la ruta del malware, el descargador genera un número aleatorio entre 347 y 568203, lo convierte en una cadena y luego genera el hash utilizando MD5, SHA1 o SHA256. Utiliza la representación hexadecimal del hash como segunda parte de la ruta del malware.

El archivo contiene el ejecutable T-RAT real , llamado sihost.exe , así como varias DLL que necesita la RAT. Algunas bibliotecas notables son Telegram.Bot.dll y socks5.dll .

Una subcarpeta llamada servicio contiene seis archivos más (los hash están en la lista de IoC):

El descargador persiste sihost.exe programando una tarea diaria. El nombre de la tarea es el ID de procesador del sistema. Si el usuario actual tiene derechos de administrador, establecerá el nivel de ejecución en MÁS ALTO . Luego, el descargador se borra a sí mismo con la ayuda de un archivo por lotes.

Packer y ofuscator

El ejemplo original de T-RAT [1] y el descargador [4] son ensamblados .NET y se empaquetan de la misma manera. La parte empaquetada está incrustada como cadena base64 en la superposición del archivo. El principio y el final de las cadenas están marcados por la secuencia “ghjghjbnv”. El stub del empaquetador busca la secuencia para encontrar la imagen empaquetada, decodifica la cadena base64 y carga dinámicamente el ensamblado .NET resultante.

Los ensamblados .NET desempaquetados [2] [4] están ofuscados con una variante de ConfuserEx. Algunas cadenas rusas son visibles, pero la mayoría de las cadenas referenciadas están codificadas en base64.

Después de desofuscar el ensamblado con NoFuserEx, permanecen las cadenas codificadas en base64. Escribí un pequeño script en Python para hacer el resto (ver Apéndice A). Reemplaza el código IL para llamadas a FromBase64String con NOP y reemplaza las cadenas base64 con sus contrapartes decodificadas. Dado que las cadenas decodificadas son más cortas, el resto se rellena con U + 200B, que es el carácter Unicode de espacio de ancho cero . (Nota al margen: esta es una solución bastante perezosa que no crea un ejecutable que funcione perfectamente, pero es lo suficientemente buena para continuar con el análisis estático).

La parte de desofuscación que requiere más tiempo para este montaje no se puede automatizar. El ofuscador eliminó los nombres de los símbolos de métodos y clases. Entonces, mientras analizaba el código de T-RAT, agregué mis propios nombres en el camino. La base del código es comparable en el lado grande con 98 comandos diferentes para controlar el cliente T-RAT.


Muestra de T-RAT antes y después de la desofuscación manual

Resumen de funcionalidad

El atacante controla T-RAT a través de Telegram usando comandos basados ​​en texto y botones de comando proporcionados por RAT. Los comandos están en inglés, los mensajes de ayuda en su mayoría en ruso. Una sección del banner publicitario muestra los controles y cómo se ven en el teléfono (vea la imagen a continuación).


T-RAT tiene 98 comandos. En lugar de describir cada comando dentro del artículo principal, los clasifiqué en grupos que se explican a continuación. La lista completa de comandos se encuentra en el Apéndice B.

1. Navegación por menús

Estos son comandos para ingresar o salir de ciertos módulos como el administrador de archivos. Ayudan a que los controles a través del teléfono inteligente sean más convenientes.

2. Administrador de archivos

T-RAT puede navegar en el sistema de archivos, mostrar información sobre las unidades y el espacio disponible, el contenido de la carpeta y modificar archivos y carpetas. También puede enviar archivos al atacante. Curiosamente, se mezcla en nombres de comandos de Unix. Por ejemplo, la lista de archivos se realiza con ls .

3. Ladrón

Este módulo permite obtener contraseñas, cookies, autocompletar datos de navegadores, datos de sesión o configuración de Telegram, Discord, Steam, Nord, Viber, Skype y Filezilla. La mayoría de los archivos de datos se guardan además del ejecutable T-RAT en archivos de texto o en un archivo ZIP en % TEMP% / winsys / antes de enviarse a Telegram.

4. Clipper

El clipper comprueba el portapapeles en busca de direcciones de monedas y las reemplaza, por lo que cualquier moneda digital se envía a la billetera del atacante. Es compatible con Qiwi, WMR, WMZ, WME, WMX, Yandex money, Payeer, CC, BTC, BTCG, Ripple, Doge y Tron. Los atacantes utilizan los comandos del clipper para guardar sus direcciones para la moneda criptográfica especificada y para iniciar o detener la ejecución del clipper.

5. Supervisión y espionaje

Permite al atacante ejecutar un registrador de teclas, crear capturas de pantalla, grabar audio a través del micrófono, tomar fotografías a través de la cámara web, enviar contenido del portapapeles.

6. Evasión

T-RAT tiene varios métodos para omitir UAC, incluidos Fodhelper, Cmstp, Cleanup, Computerdefaults. Puede deshabilitar las notificaciones de Windows Defender y Smart Screen. Puede deshabilitar varias configuraciones de seguridad, por ejemplo, las políticas de asociación se pueden cambiar para establecer “.exe” como una extensión de archivo de bajo riesgo, y ZoneIdentifiers se puede desactivar. Tiene un cheque para sandboxes y máquinas virtuales.

7. Interrupción

Estos comandos eliminan procesos, bloquean sitios web a través del archivo hosts, bloquean y redirigen programas configurando un depurador a través de las Opciones de ejecución de archivos de imagen (para bloquear el depurador es uno que no existe), deshabilitan la barra de tareas y el administrador de tareas.

8. Mando a distancia

T-RAT proporciona un terminal Powershell o CMD a través de Telegram. El control remoto también se puede realizar a través de HRDP o VNC .

T-RAT ejecuta el cliente HRDP llamado service \ in.exe que reside en la ubicación del ejecutable. Luego, creará una nueva cuenta de usuario con una contraseña y un nombre aleatorios y enviará las credenciales al atacante. Agrega el usuario recién creado al grupo Usuarios de escritorio remoto y permite el acceso remoto configurando fDenyTSConnections en “0”.

El servidor VNC es service \ winserv1.exe en sistemas de 32 bits y service \ winserv2.exe en sistemas de 64 bits.

Indicadores de compromiso

Hashes de muestra

IoC para descargado

IoC para T-RAT

Apéndice A: Guión de desofuscación

Apéndice B: Comandos T-RAT

Todos estos son comandos de T-RAT 2.0 y una descripción de algunos de ellos.

Enlace:https://www.gdatasoftware.com/blog/trat-control-via-smartphone Blog G DATA