Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Remote Administration Tools MysterySnail RAT

MysterySnail RAT

Med CagedTech i Remote Administration Tools
Oversæt til:
Dansk

MysterySnail RAT er en trussel, der ifølge resultaterne fra infosec -forskere er forbundet med den kinesiske APT -gruppe (Advanced Persistent Threat) IronHusky. Truslen beskrives som en fjerntliggende trojansk shell-type og er usædvanligt stor på 8,29 MB. Der er flere årsager til den unormale størrelse. For det første kompileres MysterySnail RAT statisk med OpenSSL -biblioteket og har ubrugt kode fra dette bibliotek. For det andet indeholder den to store funktioner, der ikke har noget praktisk formål udover at spilde processorurcyklusser.

Den sandsynlige årsag til inkluderingen af de store stykker overflødig kode er at øge truslens anti-opdagelses- og anti-emuleringskapacitet. Denne konklusion understøttes også af inkluderingen af forskellige redundante logikker samt flere eksporterede funktioner, mens kun en udfører de faktiske opgaver.

MysterySnail RAT's detaljer

Som helhed er MysterySnail RAT ikke blandt de mest sofistikerede trusler af denne type.Det kompenserer dog med en udvidet liste over funktionaliteter (truslen kan genkende i alt 20 forskellige kommandoer) såsom at registrere eventuelle indsatte diskdrev eller være i stand til at fungere som en proxy. Efter at have modtaget den relevante kommando fra dens Command-and-Control (C&C, C2) server, er truslen i stand til at manipulere filsystemet i det kompromitterede system ved at oprette, læse, uploade eller slette de valgte filer. MysterySnail RAT kan også starte eller afslutte processer. Derudover kan det åbne et kommandoprompt -vindue, hvor angriberne kan udføre vilkårlige kommandoer.

En af de første handlinger udført af MysterySnail RAT er at indsamle data om det overtrædede system. Malwaren høster detaljer, f.eks. Computernavn, Windows -produktnavn, IP -adresse, brugernavn og mere. Alle indsamlede oplysninger uploades derefter til C2 -serveren. Hvad angår serverens adresse, havde de analyserede trusselsprøver to hardkodede URL'er gemt i ren tekst, der fungerede som lokkeduer. Den rigtige URL afkodes af et enkelt byte xor, der leverer 'http [.] Ddspadus [.] Com' -adressen.

Trending

Mest sete

Indlæser...