HabitsRAT

HabitsRAT是一种用Go编程语言编写的新型恶意软件威胁。似乎越来越多的网络罪犯开始专门使用Go，因为由此产生的恶意软件似乎更难被反恶意软件产品检测到。顾名思义，HabitsRAT的主要目的是充当远程访问特洛伊木马（RAT），从而使威胁参与者能够控制受感染的系统。最初由网络安全分析人员发现威胁后，就将其部署在针对Microsoft Exchange服务器的攻击活动中。从那时起，一个新的Windows变种与一个能够感染Linux服务器的变种一起发布了。

尽管HabitsRAT的设计看起来很简单，但其功能使威胁非常有效。 Windows和Linux版本的代码结构与“ commandplatform_windows.go”，“ keyplatform_windows.go”和“ persistencehandler_windows.go”文件中包含的系统特定代码有很多重叠。执行后，威胁的二进制文件将自己安装到驱动器上的文件夹中-Windows上为'％SystemDrive％WindowsDefenderMsMpEng.exe '，Linux上为' $ HOME / .config / polkitd / polkitd '。 HabitsRAT执行的下一个动作是检查其持久性机制是否已经建立。否则，威胁将继续在Windows上创建“ xml”计划的任务，而在Linux上使用“ systemd”单元文件。

加密密钥验证HabitsRAT命令

为了确保其威胁工具不会被另一方接管，网络犯罪分子已实施了加密功能。 HabitsRAt使用公共密码术对从攻击活动的命令与控制（C2，C＆C）服务器接收的命令进行加密和身份验证。公私钥对是使用Proton Mail开源库生成的。

身份验证密钥存储在磁盘上。 Linux版本的HabitsRAT会根据其是否写入' $ HOME / .config / .accounts-daemon / accounts-daemon.login.conf '或' /usr/share/accounts-daemon/accounts-daemon.so '是否以普通用户身份签名。 Windows版本的威胁使用“ ％SystemDrive％WindowsDefenderMsMpEng.dll ”或“ ％APPDATA％Windows NTDefenderMsMpEng.dll ”。

如果没有收到命令，则HabitsRAT会休眠10秒钟，然后将另一个请求发送到C2服务器。威胁参与者必须使用正确的密钥对所有传入通信进行签名。

HabitsRAT的一个新的Windows版本

网络安全研究人员发现了针对Windows系统的HabitsRAT变体的新版本。 HabitsRAT版本12似乎具有许多与其以前版本所显示的功能相同的功能。主要区别在于，HabitsRAT现在支持多个C2地址时，需要一个新的C2密钥。更具体地说，已经确定了四个不同的地址，威胁随机选择了其中一个。地址列表存储在两个文件中-' ％SystemDrive％WindowsDefenderDefender.dll '和
' ％APPDATA％Windows NTDefenderDefender.dll 。