HabitsRAT

HabitsRAT to nowe zagrożenie złośliwym oprogramowaniem napisane w języku programowania Go. Wygląda na to, że coraz więcej cyberprzestępców zaczyna używać właśnie Go, ponieważ złośliwe oprogramowanie stworzone za jego pomocą wydaje się trudniejsze do wykrycia przez produkty chroniące przed złośliwym oprogramowaniem. Głównym celem HabitsRAT, jak sugeruje jego nazwa, jest działanie jako trojan zdalnego dostępu (RAT), dając osobie będącej zagrożeniem kontrolę nad zaatakowanym systemem. Kiedy zagrożenie zostało wykryte przez analityków cyberbezpieczeństwa, było wdrażane w kampanii ataku na serwery Microsoft Exchange. Jednak od tego czasu, obok wariantu zdolnego do infekowania serwerów Linux, został wydany nowy wariant systemu Windows.

Chociaż projekt HabitsRAT wydaje się dość prosty, jego funkcjonalność sprawia, że zagrożenie jest dość skuteczne. Struktura kodu wersji Windows i Linux w znacznym stopniu pokrywa się z kodem specyficznym dla systemu zawartym w plikach „commandplatform_windows.go”, „keyplatform_windows.go” i „persistencehandler_windows.go”. Po uruchomieniu plik binarny zagrożenia instaluje się w folderze na dysku - „ % SystemDrive% WindowsDefenderMsMpEng.exe ” w przypadku systemu Windows i „ $ HOME / .config / polkitd / polkitd ” w systemie Linux. Kolejną czynnością wykonywaną przez HabitsRAT jest sprawdzenie, czy jego mechanizm trwałości został już ustanowiony. Jeśli nie, zagrożenie rozpocznie tworzenie zaplanowanego zadania „xml” w systemie Windows, podczas gdy w systemie Linux używa pliku jednostki „systemd”.

Szyfrowanie klucz Weryfikuje HabitsRAT Polecenia

Aby mieć pewność, że ich groźne narzędzie nie zostanie przejęte przez inną stronę, cyberprzestępcy wdrożyli funkcję szyfrowania. HabitsRAt wykorzystuje publiczną kryptografię do szyfrowania, a także do uwierzytelniania poleceń, które otrzymuje od serwerów dowodzenia i kontroli (C2, C&C) kampanii ataku. Para kluczy publiczny-prywatny jest generowana przy użyciu biblioteki open source Proton Mail.

Klucz uwierzytelniania jest przechowywany na dysku. Wersja HabitsRAT dla systemu Linux zapisuje w „ $ HOME / .config / .accounts-daemon / accounts-daemon.login.conf ” lub „ /usr/share/accounts-daemon/accounts-daemon.so ” w zależności od tego, czy jest podpisany jako zwykły użytkownik, czy nie. Wersje zagrożenia dla systemu Windows używają zamiast tego „% SystemDrive% WindowsDefenderMsMpEng.dll ” lub „ % APPDATA% Windows NTDefenderMsMpEng.dll”.

Jeśli nie zostanie odebrane żadne polecenie, HabitsRAT zasypia się na 10 sekund, a następnie wysyła kolejne żądanie do serwerów C2. Cała przychodząca komunikacja musi być podpisana przez aktora z odpowiednim kluczem.

Nowa wersja systemu Windows HabitsRAT

Badacze cyberbezpieczeństwa złapali nową wersję wariantu HabitsRAT, który jest przeznaczony dla systemów Windows. Wydaje się, że wersja 12 HabitsRAT ma wiele z tych samych funkcji, co jego poprzednik. Główna różnica polega na tym, że wymagany jest nowy klucz C2, podczas gdy HabitsRAT obsługuje teraz wiele adresów C2. Mówiąc dokładniej, zidentyfikowano cztery różne adresy, a zagrożenie wybrało jeden z nich losowo. Lista adresów jest przechowywana w dwóch plikach - „ % SystemDrive% WindowsDefenderDefender.dll ” i
„ % APPDATA% Windows NTDefenderDefender.dll ”.