HabitsRAT

HabitsRAT är ett nytt hot mot skadlig kod som skrivs på Go-programmeringsspråket. Det verkar som om fler cyberbrottslingar börjar använda Go specifikt, eftersom skadlig programvara som skapas med det verkar vara svårare för upptäckt av anti-malware-produkter. Huvudsyftet med HabitsRAT är, som namnet antyder, att fungera som en fjärråtkomsttrojan (RAT) som ger hotaktören kontroll över det komprometterade systemet. När hotet upptäcktes av cybersäkerhetsanalytiker inleddes det i en attackkampanj inriktad på Microsoft Exchange-servrar. Sedan dess har dock en ny Windows-variant släppts tillsammans med en variant som kan infektera Linux-servrar.

Medan designen av HabitsRAT verkar vara enkel nog, gör dess funktionalitet hotet ganska effektivt. Kodstrukturen för Windows- och Linux-versionerna delar betydande överlappning med den systemspecifika koden som finns i filerna 'commandplatform_windows.go', 'keyplatform_windows.go' och 'persistencehandler_windows.go'. Vid körning installeras det binära hotet i en mapp på enheten - ' % SystemDrive% WindowsDefenderMsMpEng.exe ' för Windows och ' $ HOME / .config / polkitd / polkitd ' på Linux. Nästa åtgärd som utförs av HabitsRAT är att kontrollera om dess uthållighetsmekanism redan har fastställts. Om inte, kommer hotet att fortsätta att skapa en 'xml' schemalagd uppgift på Windows medan den på Linux använder en 'systemd' enhetsfil.

En krypteringsnyckel verifierar HabitsRAT-kommandon

För att säkerställa att deras hotande verktyg inte tas över av en annan part har cyberkriminella implementerat en krypteringsfunktion. HabitsRAt använder offentlig kryptografi för att kryptera, liksom för att autentisera de kommandon den får från Command-and-Control (C2, C&C) servrarna i attackkampanjen. Det offentliga-privata nyckelparet genereras med hjälp av Proton Mail open source-biblioteket.

Autentiseringsnyckeln lagras på disken. Linux-versionen av HabitsRAT skriver till antingen ' $ HOME / .config / .accounts-daemon / accounts-daemon.login.conf ' eller ' /usr/share/accounts-daemon/accounts-daemon.so ' beroende på om det är undertecknat som en normal användare eller inte. Windows-versionerna av hotet använder istället ' % SystemDrive% WindowsDefenderMsMpEng.dll ' eller ' % APPDATA% Windows NTDefenderMsMpEng.dll '.

Om inget kommando tas emot sover HabitsRAT själv i 10 sekunder och skickar sedan en ny begäran till C2-servrarna. All inkommande kommunikation måste undertecknas av hotaktören med rätt nyckel.

En ny Windows-version av HabitsRAT

Cybersäkerhetsforskare fångade en ny version av HabitsRAT-varianten som riktar sig till Windows-system. HabitsRAT version 12 verkar ha mycket av samma funktionalitet som visas av sin föregångare. Huvudskillnaden är att en ny C2-nyckel krävs medan HabitsRAT nu stöder flera C2-adresser. Mer specifikt har fyra olika adresser identifierats med hotet att välja en av dem slumpmässigt. Listan över adresser lagras i två filer - ' % SystemDrive% WindowsDefenderDefender.dll ' och
' % APPDATA% Windows NTDefenderDefender.dll .'