CRAT

CRAT is een krachtige RAT (Remote Access Trojan) die is gekoppeld aan de activiteiten van een Advanced Persistent Threat genaamd de Lazarus Group. Twee verschillende versies van de dreiging zijn waargenomen als onderdeel van aanvalscampagnes, en ze laten duidelijk zien dat CRAT actief wordt ontwikkeld en evolueert. De nieuwste variant heeft een meer modulaire benadering aangenomen met verschillende RAT-mogelijkheden die zijn verplaatst naar afzonderlijke beschadigde modules in plaats van allemaal op één hoop te worden gegooid. Bovendien is het scala aan backdoor-functionaliteiten van CRAT uitgebreid door de toevoeging van selecteerbare malware-plug-ins die verantwoordelijk zijn voor het maken van screenshots, keylogging en klembordbewaking. Nog belangrijker is dat CRAT een ransomwaremodule kan inzetten die de Hansom-dreiging op de besmette computer levert. De hackers kunnen de ransomware gebruiken als een manier om het slachtoffer af te persen voor geld nadat ze alle gewenste gegevens al hebben geëxfiltreerd of om het endpoint-systeem zwaar te verstoren.

Meerdere verduisteringstechnieken belemmeren de detectie van CRAT

Het belangrijkste aspect van elke RAT-dreiging is het vermogen om de beoogde systemen te infiltreren, en CRAT heeft verschillende maatregelen tegen detectie en analyse genomen. Ten eerste zijn de hackers afgeweken van de gangbare praktijk van het gebruik van een packer die kan worden gedetecteerd door technieken als entropieanalyse, import-API-analyses, enz., En in plaats daarvan hebben ze de code van de malware selectief verduisterd. In het bijzonder verdoezelt CRAT de strings door een XOR-sleutel van vier bytes te gebruiken, gevolgd door base64-codering. Het maakt ook gebruik van dynamische API-resolutie en runtime-codepatching. De namen van de DLL's van de RAT zijn ontworpen om die van de bibliotheek van een onschuldige applicatie na te bootsen.

CRAT voert ook een reeks controles uit om te verifiëren dat de dreiging wordt uitgevoerd op het gewenste eindpunt en niet in een analyseomgeving. Het vergelijkt MAC-adressen, proces-, netwerkadapter- en analysehulpmiddelennamen met een hardgecodeerde blokkeerlijst en bij het ontdekken van een overeenkomst, wordt de uitvoering ervan beëindigd. CRAT voert een controle uit op eventuele foutopsporingspogingen, ook via CheckRemoteDebuggerPresent.

Baseline RAT-mogelijkheden uitgebreid met modulaire plug-ins

Na succesvolle infiltratie kan CRAT een indrukwekkend scala aan backdoor-mogelijkheden initiëren die alleen in de nieuwere versie zijn uitgebreid. Voordat de RAT begint te werken, wacht het echter op het ontvangen van het juiste commando van de Command-and-Control (C2, C&C) -infrastructuur in de vorm van JSON-communicatie via HTTP. De adoptie van een modulaire architectuur stelt hackers in staat hun activiteiten verder aan te passen aan hun bedreigende doelen door alleen geselecteerde malware-plug-ins te downloaden en deze te injecteren in specifieke processen die op het gecompromitteerde eindpunt worden uitgevoerd.

CRAT kan verschillende systeeminformatie verzamelen, zoals MAC-adres, geïnstalleerde firewall en antivirusproducten, domeinnamen, controleren op beheerdersrechten, informatie over de grootte verzamelen voor alle bestanden en mappen met uitzondering van % windir% en de Prullenbak, lezen, schrijven en exfiltreren de inhoud van het bestand. De aanvallers kunnen opdrachten op afstand uitvoeren en een omgekeerde opdrachtshell opzetten. CRAT schendt gebruikersgegevens zoals gebruikersnamen en wachtwoorden die zijn opgeslagen in Google Chrome. De dreiging wordt geleverd met een aangepaste submodule van Verkenner.

De grootste verandering ten opzichte van de oudere versies is echter de mogelijkheid van CRAT om beschadigde plug-ins te downloaden en te installeren volgens de instructies die door de C2 zijn ontvangen. De meest merkwaardige is de ransomware-plug-in met de Hansom-dreiging. Gewoonlijk versleutelt ransomware de bestanden op het geïnfecteerde systeem met een niet te kraken algoritme, maar Hansom heeft een andere aanpak. Wanneer het wordt gestart, gaat het verder met het vergrendelen van elk bestand in afzonderlijke archieven die vervolgens elk een ander willekeurig gegenereerd wachtwoord krijgen toegewezen. De wachtwoorden worden vervolgens versleuteld met een ingebouwde openbare sleutel. Hansom kan in totaal 110 verschillende bestandstypen beïnvloeden. Voordat het coderingsproces wordt gestart, doorloopt het verschillende procedures die zijn ontworpen om Windows Defender-meldingen uit te schakelen, specifiek het Windows Defender-proces 'MsMpEng.exe', taakbeheer uit te schakelen en een persistentiemechanisme te starten via het register en regsvr32.