HabitsRAT

HabitsRAT is een nieuwe malwarebedreiging die is geschreven in de programmeertaal Go. Het lijkt erop dat meer cybercriminelen Go specifiek gaan gebruiken, aangezien malware die ermee is gemaakt moeilijker te detecteren lijkt te zijn door antimalwareproducten. Het belangrijkste doel van HabitsRAT, zoals de naam al doet vermoeden, is om op te treden als een Trojan voor externe toegang (RAT) die de bedreigingsacteur controle geeft over het gecompromitteerde systeem. Toen de dreiging in eerste instantie werd ontdekt door cyberbeveiligingsanalisten, werd deze ingezet in een aanvalscampagne gericht op Microsoft Exchange-servers. Sindsdien is er echter een nieuwe Windows-variant uitgebracht naast een variant die Linux-servers kan infecteren.

Hoewel het ontwerp van HabitsRAT eenvoudig genoeg lijkt, maakt de functionaliteit de dreiging behoorlijk effectief. De codestructuur van de Windows- en Linux-versies deelt een aanzienlijke overlap met de systeemspecifieke code in de bestanden 'commandplatform_windows.go', 'keyplatform_windows.go' en 'persistencehandler_windows.go'. Bij uitvoering installeert het binaire bestand van de bedreiging zichzelf in een map op de schijf - ' % SystemDrive% WindowsDefenderMsMpEng.exe ' voor Windows en ' $ HOME / .config / polkitd / polkitd ' onder Linux. De volgende actie die HabitsRAT uitvoert, is controleren of het persistentiemechanisme al is ingesteld. Als dit niet het geval is, zal de dreiging doorgaan met het maken van een geplande 'xml'-taak op Windows, terwijl het onder Linux een' systemd'-eenheidsbestand gebruikt.

Een coderingssleutel verifieert HabitsRAT-opdrachten

Om ervoor te zorgen dat hun dreigingstool niet door een andere partij wordt overgenomen, hebben de cybercriminelen een coderingsfunctie geïmplementeerd. HabitsRAt gebruikt openbare cryptografie om te versleutelen en om de commando's die het ontvangt van de Command-and-Control (C2, C&C) servers van de aanvalscampagne te authenticeren. Het publiek-private sleutelpaar wordt gegenereerd met behulp van de open-sourcebibliotheek Proton Mail.

De authenticatiesleutel is opgeslagen op de schijf. De Linux-versie van HabitsRAT schrijft naar ' $ HOME / .config / .accounts-daemon / accounts-daemon.login.conf ' of ' /usr/share/accounts-daemon/accounts-daemon.so ', afhankelijk van of het ondertekend als een normale gebruiker of niet. De Windows-versies van de bedreiging gebruiken in plaats daarvan ' % SystemDrive% WindowsDefenderMsMpEng.dll ' of ' % APPDATA% Windows NTDefenderMsMpEng.dll '.

Als er geen commando wordt ontvangen, slaapt HabitsRAT zichzelf 10 seconden en stuurt dan nog een verzoek naar de C2-servers. Alle inkomende communicatie moet door de dreigingsacteur worden ondertekend met de juiste sleutel.

Een nieuwe Windows-versie van HabitsRAT

Cybersecurity-onderzoekers hebben een nieuwe versie van de HabitsRAT-variant ontdekt die gericht is op Windows-systemen. De HabitsRAT versie 12 lijkt veel van dezelfde functionaliteit te hebben als zijn voorganger. Het belangrijkste verschil is dat er een nieuwe C2-sleutel nodig is, terwijl HabitsRAT nu meerdere C2-adressen ondersteunt. Meer specifiek zijn er vier verschillende adressen geïdentificeerd, waarbij de dreiging er willekeurig een uitkiest. De lijst met adressen is opgeslagen in twee bestanden - ' % SystemDrive% WindowsDefenderDefender.dll ' en
' % APPDATA% Windows NTDefenderDefender.dll .'

Trending

Meest bekeken

Bezig met laden...