freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

远控木马FatalRAT浮出水面
2021-08-26 14:05:29

近期,AT&T 的研究人员发现了一种新的远控木马正在通过论坛和 Telegram 进行分发,该恶意软件隐藏在下载链接中,透过软件或者新闻来引诱用户下载。

分析

FatalRAT 是一种远控木马,在完全感染系统之前会运行多次测试(T1497.001),检查是否存在虚拟机中、检查硬盘空间大小、检查物理处理器数量等。

检测虚拟机服务是否存在:

检测特定注册表是否存在:

如果通过了虚拟机检测,FatalRAT 就会开始进行恶意活动。首先,解密配置字符串,得到 C&C 地址、恶意软件文件名、服务名和其他设置。

解密字符串的方式如下所示:

FatalRAT 通过修改注册表禁用 CTRL+ALT+DELETE 锁定计算机:

随后激活 Keylogger:

FatalRAT 修改注册表(Software\Microsoft\Windows\CurrentVersion\Run\SVP7)并创建新服务来进行持久化:

恶意软件收集失陷主机的信息并发送到 C&C 服务器,包括公网 IP 地址、用户名和受害者的其他信息。

作为一种检测逃避技术,FatalRAT 通过遍历所有正在运行的进程是否存在安全产品:

进程名称会被转换为安全产品名称发送到 C&C 服务器:

C&C 通信的加密方式(异或加常数值)如下所示:

加密信息会通过 8081 端口发送到 C&C 服务器:

攻击会下发执行的命令,例如删除特定浏览器(Edge、360Secure Browser、QQBrowser、SogouBrowser 和 Firefox)。

执行的命令如通过 IPC$ 进行爆破,进行横向移动。

攻击成功后会在指定位置(%Folder%\hackshen.exe)拷贝传播:

窃取软件相关数据:

其他命令包括卸载 UltraViewer、下载并安装 AnyDesk、下载并执行文件等:

结论

新发现的 FatalRAT 使用多种方式进行检测逃避,窃取用户相关隐私数据,通信也做了加密处理。在过去的几个月里,活动较为频繁。

IOC
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.119.44.152
103.119.44.93
103.119.44.100

参考来源

AT&T CyberSecurity

本文作者:, 转载请注明来自FreeBuf.COM

# 远控木马 # FatalRAT # 数据窃密
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑