CRAT

CRAT er en kraftfuld RAT (Remote Access Trojan), der er blevet knyttet til aktiviteterne i en avanceret vedvarende trussel kaldet Lazarus Group. To forskellige versioner af truslen er blevet observeret som en del af angrebskampagner, og de viser tydeligt, at CRAT udvikles og udvikles aktivt. Den nyeste variant har vedtaget en mere modulær tilgang med forskellige RAT-funktioner flyttet til adskilte beskadigede moduler i stedet for at alle bliver samlet i en enkelt nyttelast. Desuden er CRATs række af bagdørfunktioner blevet udvidet gennem tilføjelsen af valgbare malware-plugins, der er ansvarlige for at tage skærmbilleder, keylogging og udklipsholderovervågning. Endnu vigtigere kan CRAT implementere et ransomware-modul, der leverer Hansom-truslen på den kompromitterede computer. Hackerne kan bruge ransomware som en måde at afpresse offeret for penge efter at have allerede exfiltreret alle de ønskede data eller for at forstyrre slutpunktssystemet kraftigt.

Flere fordybelsesteknikker hindrer detektion af CRAT

Det vigtigste aspekt af enhver RAT-trussel er dets evne til at infiltrere de målrettede systemer, og CRAT har adskillige antidetektions- og anti-analyse-modforanstaltninger. For det første er hackerne gået væk fra den almindelige praksis med at bruge en pakke, der kan detekteres ved teknikker som entropianalyse, Import API-analyser osv., Og i stedet har de valgt selektiv tilsløring af malware-koden. Navnlig tilslører CRAT sine strenge ved hjælp af en XOR-nøgle med fire byte efterfulgt af kodning af base64. Det anvender også dynamisk API-opløsning og runtime-kodepatching. Navnene på RAT's DLL'er er designet til at efterligne dem i et uskyldigt applikationsbibliotek.

CRAT udfører også en række kontroller designet til at kontrollere, at truslen udføres på det ønskede slutpunkt og ikke i et analysemiljø. Den sammenligner navne på MAC-adresser, proces-, netværksadapter- og analyseværktøjer med en hardkodet blokliste, og når den opdager et match, afslutter den dens udførelse. CRAT foretager en kontrol for eventuelle fejlretningsforsøg, herunder gennem CheckRemoteDebuggerPresent.

Baseline RAT-kapaciteter udvidet med modulære plugins

Efter vellykket infiltration kan CRAT starte et imponerende udvalg af bagdørfunktioner, der kun er blevet udvidet i den nyere version. Før RAT begynder at handle, venter den dog på at modtage den passende kommando fra Command-and-Control (C2, C&C) infrastrukturen i form af JSON-kommunikation via HTTP. Vedtagelsen af en modulær arkitektur giver hackere mulighed for yderligere at tilpasse deres aktiviteter i overensstemmelse med deres truende mål ved kun at downloade udvalgte malware-plugins og indsprøjte dem i specifikke processer, der kører på det kompromitterede slutpunkt.

CRAT kan høste forskellige systemoplysninger, såsom MAC-adresse, installeret firewall og antivirusprodukter, domænenavne, kontrollere administrative rettigheder, indsamle størrelseoplysninger for alle filer og mapper med undtagelse af % windir% og papirkurven, læse, skrive og exfiltrere filindhold. Angriberne kan udføre fjernkommandoer og oprette en omvendt kommandoskal. CRAT overtræder brugeroplysninger såsom brugernavne og adgangskoder, der er gemt i Google Chrome. Truslen kommer med et tilpasset File Explorer-undermodul.

Den største ændring i forhold til de ældre versioner er imidlertid CRATs evne til at downloade og installere beskadigede plugins i henhold til instruktionerne fra C2. Den mest ejendommelige er ransomware-pluginet, der bærer Hansom-truslen. Normalt krypterer ransomware filerne på det inficerede system med en algoritme, der ikke kan knækkes, men Hansom har en anden tilgang. Når det startes, fortsætter det med at låse hver fil i individuelle arkiver, som derefter hver tildeles en anden tilfældigt genereret adgangskode. Adgangskoderne krypteres derefter med en integreret offentlig nøgle. Hansom kan påvirke i alt 110 forskellige filtyper. Før krypteringsprocessen påbegyndes, gennemgår den flere procedurer designet til at deaktivere Windows Defender-meddelelser, Windows Defender-processen 'MsMpEng.exe' specifikt, deaktivere task manager og starte en persistensmekanisme gennem registreringsdatabasen og regsvr32.