HabitsRAT

HabitsRAT, Go programlama dilinde yazılmış yeni bir kötü amaçlı yazılım tehdididir. Görünüşe göre gittikçe daha fazla siber suçlu özellikle Go'yu kullanmaya başlıyor, çünkü onunla oluşturulan kötü amaçlı yazılımların kötü amaçlı yazılımdan koruma ürünleri tarafından tespit edilmesi daha zor görünüyor. HabitsRAT'ın temel amacı, adından da anlaşılacağı gibi, tehdit aktörüne tehlikeye atılan sistem üzerinde denetim sağlayan bir Uzaktan Erişim Truva Atı (RAT) olarak hareket etmektir. Tehdit başlangıçta siber güvenlik analistleri tarafından keşfedildiğinde, Microsoft Exchange sunucularını hedef alan bir saldırı kampanyasında konuşlandırılıyordu. Ancak o zamandan beri, Linux sunucularına bulaşabilen bir varyantın yanı sıra yeni bir Windows varyantı piyasaya sürüldü.

HabitsRAT'ın tasarımı yeterince basit görünse de, işlevselliği tehdidi oldukça etkili kılıyor. Windows ve Linux sürümlerinin kod yapısı, 'commandplatform_windows.go', 'keyplatform_windows.go' ve 'persistencehandler_windows.go' dosyalarında bulunan sisteme özgü kodla önemli ölçüde örtüşüyor. Yürütme üzerine, tehdidin ikili dosyası kendisini sürücüdeki bir klasöre yükler - Windows için '% SystemDrive% WindowsDefenderMsMpEng.exe ' ve Linux'ta '$ HOME / .config / polkitd / polkitd '. HabitsRAT tarafından gerçekleştirilen bir sonraki eylem, kalıcılık mekanizmasının halihazırda kurulmuş olup olmadığını kontrol etmektir. Değilse, tehdit, Linux'ta bir 'systemd' birim dosyası kullanırken Windows'ta bir 'xml' zamanlanmış görev oluşturmaya devam edecektir.

Bir Şifreleme Anahtarı Alışkanlıkları DoğruladıRAT Komutları

Siber suçlular, tehdit araçlarının başka bir tarafça ele geçirilmediğinden emin olmak için bir şifreleme özelliği uyguladılar. HabitsRAt, saldırı kampanyasının Komut ve Kontrol (C2, C&C) sunucularından aldığı komutları şifrelemek ve kimliklerini doğrulamak için genel kriptografi kullanır. Genel-özel anahtar çifti, Proton Mail açık kaynak kitaplığı kullanılarak oluşturulur.

Kimlik doğrulama anahtarı diskte saklanır. HabitsRAT'ın Linux sürümü, olup olmadığına bağlı olarak "$ HOME / .config / .accounts-daemon / accounts-daemon.login.conf " veya " /usr/share/accounts-daemon/accounts-daemon.so" ya yazar. normal bir kullanıcı olarak imzalanmış veya imzalanmamış. Tehdidin Windows sürümleri bunun yerine '% SystemDrive% WindowsDefenderMsMpEng.dll ' veya ' % APPDATA% Windows NTDefenderMsMpEng.dll ' kullanır.

Herhangi bir komut alınmazsa, HabitsRAT kendini 10 saniye uyur ve ardından C2 sunucularına başka bir istek gönderir. Gelen tüm iletişim, tehdit aktörü tarafından doğru anahtarla imzalanmalıdır.

HabitsRAT'ın Yeni Bir Windows Sürümü

Siber güvenlik araştırmacıları, Windows sistemlerini hedefleyen HabitsRAT varyantının yeni bir sürümünü yakaladı. HabitsRAT sürüm 12, selefi tarafından görüntülenen aynı işlevselliğin çoğuna sahip görünüyor. Temel fark, HabitsRAT artık birden fazla C2 adresini desteklerken yeni bir C2 anahtarının gerekli olmasıdır. Daha spesifik olarak, birini rastgele seçen tehditle dört farklı adres tanımlanmıştır. Adres listesi iki dosyada saklanır - ' % SystemDrive% WindowsDefenderDefender.dll ' ve
' % APPDATA% Windows NTDefenderDefender.dll .'