MysterySnail RAT
The MysterySnail RAT एक खतरा है कि इन्फोसेक शोधकर्ताओं द्वारा किए गए निष्कर्षों के अनुसार, चीनी एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह आयरनहुस्की से जुड़ा है। खतरे को एक दूरस्थ शेल-प्रकार ट्रोजन के रूप में वर्णित किया गया है और यह असामान्य रूप से 8.29MB पर बड़ा है। असामान्य आकार के कई कारण हैं। सबसे पहले, MysterySnail RAT को ओपनएसएसएल लाइब्रेरी के साथ स्थिर रूप से संकलित किया गया है और उस पुस्तकालय से अप्रयुक्त कोड है। दूसरा, इसमें दो बड़े कार्य शामिल हैं जिनका प्रोसेसर घड़ी चक्रों को बर्बाद करने के अलावा कोई व्यावहारिक उद्देश्य नहीं है।
अनावश्यक कोड के बड़े हिस्से को शामिल करने का संभावित कारण खतरे की पहचान-विरोधी और अनुकरण-विरोधी क्षमताओं को बढ़ावा देना है। यह निष्कर्ष विभिन्न निरर्थक तर्कों के समावेश के साथ-साथ कई निर्यात किए गए कार्यों द्वारा भी समर्थित है, जबकि केवल एक ही वास्तविक कार्य करता है।
MysterySnail RAT विवरण
कुल मिलाकर, MysterySnail RAT इस प्रकार के सबसे परिष्कृत खतरों में से नहीं है।हालांकि, यह कार्यात्मकताओं की एक विस्तृत सूची के साथ क्षतिपूर्ति करता है (खतरा कुल 20 अलग-अलग कमांड को पहचान सकता है) जैसे कि किसी सम्मिलित डिस्क ड्राइव का पता लगाना या प्रॉक्सी के रूप में कार्य करने में सक्षम होना। अपने कमांड-एंड-कंट्रोल (सी एंड सी, सी 2) सर्वर से उपयुक्त कमांड प्राप्त करने पर, खतरा चुनी हुई फाइलों को बनाने, पढ़ने, अपलोड करने या हटाने के द्वारा समझौता किए गए सिस्टम की फाइल सिस्टम में हेरफेर करने में सक्षम है। MysterySnail RAT भी प्रक्रियाओं को शुरू या समाप्त कर सकता है। इसके अलावा, यह एक कमांड प्रॉम्प्ट विंडो खोल सकता है जो हमलावरों को मनमानी कमांड निष्पादित करने की अनुमति देता है।
MysterySnail RAT द्वारा की गई पहली क्रियाओं में से एक है भंग सिस्टम के बारे में डेटा एकत्र करना। मैलवेयर कंप्यूटर का नाम, विंडोज उत्पाद का नाम, आईपी पता, उपयोगकर्ता नाम और बहुत कुछ विवरण एकत्र करता है। सभी एकत्रित जानकारी को फिर C2 सर्वर पर अपलोड किया जाता है। सर्वर के पते के लिए, विश्लेषण किए गए खतरे के नमूनों में दो हार्डकोड वाले URL सादे पाठ में संग्रहीत थे जो डिकॉय के रूप में कार्य करते थे। असली यूआरएल एक बाइट xor द्वारा डिकोड किया जाता है जो 'http[.]ddspadus[.]com' एड्रेस डिलीवर करता है।
