HabitsRAT

HabitsRAT गो प्रोग्रामिंग भाषा में लिखा गया एक नया मैलवेयर खतरा है। ऐसा लगता है कि अधिक साइबर अपराधी विशेष रूप से गो का उपयोग करना शुरू कर रहे हैं, क्योंकि इसके साथ निर्मित मैलवेयर एंटी-मैलवेयर उत्पादों द्वारा पता लगाने के लिए कठिन प्रतीत होता है। HabitsRAT का मुख्य उद्देश्य, जैसा कि इसके नाम से पता चलता है, एक रिमोट एक्सेस ट्रोजन (RAT) के रूप में कार्य करना है जो कि समझौता किए गए सिस्टम पर खतरे के अभिनेता को नियंत्रण प्रदान करता है। जब साइबर सुरक्षा के विश्लेषकों ने इस खतरे का पता लगाया, तो इसे माइक्रोसॉफ्ट एक्सचेंज सर्वरों को लक्षित करते हुए एक हमले अभियान में तैनात किया गया था। तब से, हालांकि, एक नया विंडोज संस्करण एक ऐसे संस्करण के साथ जारी किया गया है जो लिनक्स सर्वरों को संक्रमित करने में सक्षम है।

जबकि HabitsRAT का डिज़ाइन काफी सरल लगता है, इसकी कार्यक्षमता खतरे को काफी प्रभावी बनाती है। विंडोज और लिनक्स संस्करणों की कोड संरचना 'कमांडप्लगाउडर_व्यूड.गो,' 'कीप्लोमेक्ट्री_व्यूड.गो' और 'हठवादीहैंडलॉव_गो' फाइलों में निहित सिस्टम-विशिष्ट कोड के साथ काफी ओवरलैप साझा करती है। निष्पादन पर, खतरे की बाइनरी ड्राइव पर एक फ़ोल्डर में खुद को स्थापित करती है - विंडोज के लिए '% SystemDrive% WindowsDefenderMsMpEng.exe ' और लिनक्स पर '$ HOME / .config / polkitd / polkitd'। HabitsRAT द्वारा की गई अगली कार्रवाई यह जांचने के लिए है कि क्या इसकी दृढ़ता तंत्र पहले से ही स्थापित है। यदि नहीं, तो खतरा लिनक्स पर 'xml' शेड्यूल किए गए कार्य को बनाने के लिए आगे बढ़ेगा जबकि लिनक्स पर यह एक 'systemd' यूनिट फ़ाइल का उपयोग करता है।

एक एन्क्रिप्शन कुंजी हैबिटेट कमांड का सत्यापन करता है

यह सुनिश्चित करने के लिए कि उनके धमकी देने वाले उपकरण को किसी अन्य पार्टी ने नहीं लिया है, साइबर अपराधियों ने एक एन्क्रिप्शन सुविधा लागू की है। HabitsRAt एन्क्रिप्ट करने के लिए सार्वजनिक क्रिप्टोग्राफी का उपयोग करता है, साथ ही यह कमांड-एंड-कंट्रोल (C2, C & C) के हमले अभियान के सर्वर से प्राप्त कमांड को प्रमाणित करने के लिए करता है। सार्वजनिक-निजी कुंजी जोड़ी प्रोटॉन मेल ओपन-सोर्स लाइब्रेरी का उपयोग करके बनाई गई है।

प्रमाणीकरण कुंजी को डिस्क पर संग्रहीत किया जाता है। HabitsRAT का लिनक्स संस्करण ' $ HOME / .config / .accounts-daemon / accounts-daemon.login.conf ' या ' /usr/share/accounts-daemon/accounts-daemon.so ' पर निर्भर करता है कि यह क्या है। सामान्य उपयोगकर्ता के रूप में हस्ताक्षर किए गए हैं या नहीं। खतरे के विंडोज संस्करण इसके बजाय '% SystemDrive% WindowsDefenderMsMpEng.dll ' या ' % APPDATA% Windows NTDefenderMsMpEng.dll ' का उपयोग करते हैं।

यदि कोई आदेश प्राप्त नहीं होता है, तो HabitsRAT 10 सेकंड के लिए खुद सोता है और फिर C2 सर्वर को एक और अनुरोध भेजता है। सभी आने वाले संचार को सही कुंजी के साथ खतरा अभिनेता द्वारा हस्ताक्षरित किया जाना चाहिए।

HabitsRAT का एक नया विंडोज संस्करण

साइबरस्पेस रिसर्चर्स ने हैबिट्स वैरिएंट का एक नया संस्करण पकड़ा, जो विंडोज सिस्टम को लक्षित करता है। HabitsRAT संस्करण 12 अपने पूर्ववर्ती द्वारा प्रदर्शित की गई समान कार्यक्षमता के बहुत से प्रतीत होता है। मुख्य अंतर यह है कि नई C2 कुंजी की आवश्यकता है जबकि HabitsRAT अब कई C2 पतों का समर्थन करता है। विशेष रूप से, चार अलग-अलग पतों की पहचान की गई है, जिनमें से एक को यादृच्छिक रूप से उठाते हुए खतरे की पहचान की गई है। पतों की सूची दो फाइलों में संग्रहीत है - ' % SystemDrive% WindowsDefenderDefender.dll ' और
' % APPDATA% Windows NTDefenderDefender.dll ।'