HabitsRAT

HabitsRAT er en ny malware-trussel skrevet på Go-programmeringssproget. Det ser ud til, at flere cyberkriminelle begynder at bruge Go specifikt, da malware oprettet med det ser ud til at være sværere at opdage af anti-malware-produkter. Hovedformålet med HabitsRAT er, som navnet antyder, at fungere som en Remote Access Trojan (RAT), der giver trusselsaktøren kontrol over det kompromitterede system. Da truslen oprindeligt blev opdaget af cybersikkerhedsanalytikere, blev den implementeret i en angrebskampagne rettet mod Microsoft Exchange-servere. Siden da er der imidlertid frigivet en ny Windows-variant sammen med en variant, der er i stand til at inficere Linux-servere.

Mens designet af HabitsRAT virker enkelt nok, gør dens funktionalitet truslen ret effektiv. Kodestrukturen i Windows- og Linux-versionerne deler betydelig overlapning med den systemspecifikke kode, der findes i filerne 'commandplatform_windows.go', 'keyplatform_windows.go' og 'persistencehandler_windows.go'. Efter udførelse installeres den binære trussel i en mappe på drevet - ' % SystemDrive% WindowsDefenderMsMpEng.exe ' til Windows og ' $ HOME / .config / polkitd / polkitd ' på Linux. Den næste handling udført af HabitsRAT er at kontrollere, om dens persistensmekanisme allerede er etableret. Hvis ikke, fortsætter truslen med at oprette en 'xml' planlagt opgave på Windows, mens den på Linux bruger en 'systemd' enhedsfil.

En krypteringsnøgle verificerer HabitsRAT-kommandoer

For at sikre, at deres truende værktøj ikke overtages af en anden part, har cyberkriminelle implementeret en krypteringsfunktion. HabitsRAt bruger offentlig kryptografi til at kryptere samt til at autentificere de kommandoer, den modtager fra Command-and-Control (C2, C&C) serverne i angrebskampagnen. Det offentlige-private nøglepar genereres ved hjælp af Proton Mail open source-biblioteket.

Godkendelsesnøglen er gemt på disken. Linux-versionen af HabitsRAT skriver til enten ' $ HOME / .config / .accounts-daemon / accounts-daemon.login.conf ' eller ' /usr/share/accounts-daemon/accounts-daemon.so ' afhængigt af om det er underskrevet som en normal bruger eller ej. Windows-versionerne af truslen bruger ' % SystemDrive% WindowsDefenderMsMpEng.dll ' eller ' % APPDATA% Windows NTDefenderMsMpEng.dll ' i stedet.

Hvis der ikke modtages nogen kommando, sover HabitsRAT selv i 10 sekunder og sender derefter en anden anmodning til C2-serverne. Al indgående kommunikation skal underskrives af trusselsaktøren med den rigtige nøgle.

En ny Windows-version af HabitsRAT

Cybersikkerhedsforskere fangede en ny version af HabitsRAT-varianten, der er målrettet mod Windows-systemer. HabitsRAT version 12 ser ud til at have meget af den samme funktionalitet, der vises af sin forgænger. Hovedforskellen er, at der kræves en ny C2-nøgle, mens HabitsRAT nu understøtter flere C2-adresser. Mere specifikt er fire forskellige adresser blevet identificeret, hvor truslen tilfældigt vælger en af dem. Listen over adresser er gemt i to filer - ' % SystemDrive% WindowsDefenderDefender.dll ' og
' % APPDATA% Windows NTDefenderDefender.dll .'