MysterySnail RAT
MysterySnail RAT, infosec araştırmacıları tarafından yapılan bulgulara göre, Çin APT (Gelişmiş Kalıcı Tehdit) grubu IronHusky ile bağlantılı bir tehdittir. Tehdit, uzak kabuk tipi bir Truva atı olarak tanımlanıyor ve 8.29MB'de alışılmadık derecede büyük. Anormal boyutun birkaç nedeni vardır. İlk olarak, MysterySnail RAT, OpenSSL Kitaplığı ile statik olarak derlenir ve bu kitaplıktan kullanılmayan koda sahiptir. İkincisi, işlemci saat döngülerini boşa harcamanın yanı sıra pratik bir amacı olmayan iki büyük işlev içerir.
Büyük gereksiz kod parçalarının dahil edilmesinin olası nedeni, tehdidin tespit önleme ve öykünme önleme yeteneklerini artırmaktır. Bu sonuç, aynı zamanda, yalnızca biri gerçek görevleri yerine getirirken, birden çok dışa aktarılan işlevlerin yanı sıra, çeşitli gereksiz mantıkların dahil edilmesiyle de desteklenir.
MysterySnail RAT'ın Ayrıntıları
Bir bütün olarak, MysterySnail RAT, bu türdeki en karmaşık tehditler arasında değildir.Ancak, takılı disk sürücülerinin algılanması veya proxy olarak hareket edebilme gibi genişletilmiş bir işlevler listesi (tehdit toplam 20 farklı komutu tanıyabilir) ile telafi eder. Komuta ve Kontrol (C&C, C2) sunucusundan uygun komutu aldıktan sonra, tehdit, seçilen dosyaları oluşturarak, okuyarak, karşıya yükleyerek veya silerek güvenliği ihlal edilen sistemin dosya sistemini manipüle etme yeteneğine sahiptir. MysterySnail RAT ayrıca süreçleri başlatabilir veya sonlandırabilir. Ayrıca, saldırganların keyfi komutlar yürütmesine izin veren bir Komut İstemi penceresi açabilir.
MysterySnail RAT tarafından gerçekleştirilen ilk eylemlerden biri, ihlal edilen sistem hakkında veri toplamaktır. Kötü amaçlı yazılım, bilgisayar adı, Windows ürün adı, IP adresi, kullanıcı adı ve daha fazlası gibi ayrıntıları toplar. Toplanan tüm bilgiler daha sonra C2 sunucusuna yüklenir. Sunucunun adresine gelince, analiz edilen tehdit örnekleri, düz metin olarak saklanan ve tuzak görevi gören iki sabit kodlanmış URL'ye sahipti. Gerçek URL'nin kodu, 'http[.]ddspadus[.]com' adresini veren tek bir baytlık xor tarafından çözülür.
