Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Português
Threat Database Trojans Ratsnif

Ratsnif

Por GoldSparrow em Trojans
Traduzir Para:
Português

O Ratsnif é um grupo de Trojans desenvolvido desde 2016 para permitir que atacantes acessem dispositivos e redes. Os últimos Trojans Ratsnif usam várias técnicas de ataque à rede, como envenenamento por ARP, envenenamento de DNS, sniffing de pacotes, injeção de HTTP e falsificação de endereço MAC. Os Trojans Ratsnif são chamados de RATs (Remote Access Tools, ferramentas de acesso remoto) e coletam informações sobre um sistema ou rede que podem ser usados para comprometê-lo e atacá-lo.

Alguns Detalhes sobre os Trojans Ratsnif

Os Ratsnif "RATs" são desenvolvidos e usados por um grupo chamado "OceanLotus APT Group", "APT32", "CobaltKitty" ou "SeaLotus". Quatro amostras do Trojan Ratsnif foram descobertas até agora. Três delas foram desenvolvidas e implantadas em 2016 e um em 2018. Todos os Trojans desenvolvidos em 2016 funcionam de forma semelhante, e não há grandes diferenças na forma como eles atacam dispositivos e redes. O último dos conruídos em 2016 (13 de setembro) é o primeiro Ratsnif conhecido a ser usado para atacar redes reais. Ele veio com vários recursos sofisticados:

  • Pacote de Sniffing
  • Envenenamento ARP
  • Redirecionamento HTTP
  • C2
  • Shell Remoto /li>
  • Spoofing de DNS

A amostra de 2018 veio com uma série de novas funcionalidades de ataque descritas acima e usa WolfSSL e http_parser.c para permitir a análise e descriptografia do tráfego de rede.

Como o Ratsnif Funciona

O Ratsnif, como todo malware, requer que um arquivo ou script seja executado. Uma vez em execução, o Ratsnif usa o Winsock para coletar e enviar informações sobre um sistema, incluindo:

  • Nome do usuário
  • Informações da estação de trabalho
  • Nome da rede do Computador
  • Diretório do sistema Windows
  • Informações sobre o adaptador de rede, etc.

A informação reunida é enviada ao atacante usando o C2. Dois endereços para o servidor C2 foram encontrados, mas apenas um parece estar ativo no momento em que o Ratsnif foi detectado e analisado. O Ratsnif também inicia o envio de informações de registro para o servidor C2 e, em seguida, atende aos comandos do servidor C2.

  • Amostra de 2018:

    • Um pouco diferente da variante mais recente de 2016, essa amostra usou um arquivo de configuração e eliminou a necessidade de um servidor C2. Ela também veio com injeção de HTTP, análise de protocolo e sequestro de SSL.
    O arquivo infectado é codificado na Base64 e é cercado por um shell OceanLotus. Ele usa um método desnecessariamente complexo para informar ao Ratsnif onde encontrar o arquivo de configuração, que é um arquivo de texto simples que pode ser facilmente decodificado e contém um número de variáveis que informam ao Ratsnif quais informações coletar e onde enviá-las.

  • Informação técnica:

    • Amostra 1 (agosto de 2016):
    MD5: 516ad28f8fa161f086be7ca122351edf
    SHA256: b4e3b2a1f1e343d14af8d812d4a29440940b99aaf145b5699dfe277b5bfb8405
    Nome do arquivo (s): javaw.exe, Client.exe
    Diretório: X: \ Project \ BotFrame \ Debug \ Client.exe
    Tamanho: 1,32 MB (1.387.520 bytes)
    Tipo de arquivo: PE32 executável para MS Windows (console) Intel 80386 32 bits
    Alias: OceanLotus APT32 Ratsnif
    Tempo de compilação: 2016-08-05 07:57:13

  • Amostra 2 (agosto de 2016):

    • MD5: b2f8c9ce955d4155d466fbbb7836e08b
    SHA256: b214c7a127cb669a523791806353da5c5c04832f123a0a6df118642eee1632a3
    Nome do arquivo: javaw.exe, Client.exe
    Diretório: X: \ Project \ BotFrame \ Debug \ Client.exe
    Tamanho: 1,32 MB (1.387.520 bytes)
    Tipo de arquivo: PE32 executável para MS Windows (console) Intel 80386 32 bits
    Alias: OceanLotus APT32 Ratsnif
    Tempo de compilação: 2016-08-06 04:30:06

  • Amostra 3 (setembro de 2016):

    • MD5: 7f0ac1b4e169edc62856731953dad126
    SHA256: b20327c03703ebad191c0ba025a3f26494ff12c5908749e33e71589ae1e1f6b3
    Nome do arquivo: javaw.exe, adobe.exe
    Caminho: N / A
    Tamanho: 432 KB (442.880 bytes)
    Tipo de arquivo: PE32 executável (DLL) (GUI) Intel 80386, para MS Windows
    Alias: OceanLotus APT32 Ratsnif
    Tempo de compilação: 2016-09-13 09:26:42

  • Amostra 4 (agosto de 2018):

    • MD5: 88eae0d31a6c38cfb615dd75918b47b1
    SHA256: 7fd526e1a190c10c060bac21de17d2c90eb2985633c9ab74020a2b78acd8a4c8
    Nome do arquivo: N/A
    Caminho: N/A
    Tamanho: 745 KB (762.880 bytes)
    Tipo de arquivo: PE32 executável (DLL) (GUI) Intel 80386, para MS Windows
    Alias: OceanLotus APT32 Ratsnif
    Tempo de compilação: qua, 08 ago 2018 02:52:52 UTC

Tendendo

Mais visto

Carregando...