MysterySnail RAT

De MysterySnail RAT is een bedreiging die volgens de bevindingen van infosec-onderzoekers verband houdt met de Chinese APT (Advanced Persistent Threat)-groep IronHusky. De dreiging wordt beschreven als een remote shell-type Trojan en is ongewoon groot met 8,29 MB. Er zijn verschillende redenen voor de abnormale grootte. Ten eerste is de MysterySnail RAT statisch gecompileerd met de OpenSSL-bibliotheek en heeft ongebruikte code uit die bibliotheek. Ten tweede bevat het twee grote functies die geen praktisch doel hebben, behalve het verspillen van processorklokcycli.

De waarschijnlijke reden voor het opnemen van de grote stukken overbodige code is om de anti-detectie- en anti-emulatiemogelijkheden van de dreiging te vergroten. Deze conclusie wordt ook ondersteund door de opname van verschillende redundante logica's, evenals meerdere geëxporteerde functies, terwijl slechts één de eigenlijke taken uitvoert.

Details van MysterySnail RAT

Als geheel behoort de MysterySnail RAT niet tot de meest geavanceerde bedreigingen van dit type.Het compenseert echter met een uitgebreide lijst met functionaliteiten (de dreiging kan in totaal 20 verschillende commando's herkennen), zoals het detecteren van geplaatste schijfstations of het kunnen fungeren als een proxy. Na ontvangst van het juiste commando van zijn Command-and-Control (C&C, C2)-server, is de dreiging in staat om het bestandssysteem van het aangetaste systeem te manipuleren door de gekozen bestanden te maken, te lezen, te uploaden of te verwijderen. De MysterySnail RAT kan ook processen starten of beëindigen. Bovendien kan het een opdrachtpromptvenster openen waardoor de aanvallers willekeurige opdrachten kunnen uitvoeren.

Een van de eerste acties die door MysterySnail RAT worden uitgevoerd, is het verzamelen van gegevens over het gehackte systeem. De malware verzamelt details, zoals de computernaam, Windows-productnaam, IP-adres, gebruikersnaam en meer. Alle verzamelde informatie wordt vervolgens geüpload naar de C2-server. Wat betreft het adres van de server, de geanalyseerde dreigingsvoorbeelden hadden twee hardgecodeerde URL's die in platte tekst waren opgeslagen en die als lokvogels fungeerden. De echte URL wordt gedecodeerd door een enkele byte xor die het 'http[.]ddspadus[.]com'-adres levert.