HabitsRAT

HabitsRAT是一種用Go編程語言編寫的新型惡意軟件威脅。似乎越來越多的網絡罪犯開始專門使用Go，因為由此產生的惡意軟件似乎更難被反惡意軟件產品檢測到。顧名思義，HabitsRAT的主要目的是充當遠程訪問特洛伊木馬（RAT），從而使威脅參與者能夠控制受感染的系統。最初由網絡安全分析人員發現威脅後，就將其部署在針對Microsoft Exchange服務器的攻擊活動中。從那時起，一個新的Windows變種與一個能夠感染Linux服務器的變種一起發布了。

儘管HabitsRAT的設計看起來很簡單，但其功能使威脅非常有效。 Windows和Linux版本的代碼結構與“ commandplatform_windows.go”，“ keyplatform_windows.go”和“ persistencehandler_windows.go”文件中包含的系統特定代碼有很多重疊。執行後，威脅的二進製文件將自己安裝到驅動器上的文件夾中-Windows上為'％SystemDrive％WindowsDefenderMsMpEng.exe '，Linux上為' $ HOME / .config / polkitd / polkitd '。 HabitsRAT執行的下一個動作是檢查其持久性機制是否已經建立。否則，威脅將繼續在Windows上創建“ xml”計劃的任務，而在Linux上使用“ systemd”單元文件。

加密密鑰驗證HabitsRAT命令

為了確保其威脅工具不會被另一方接管，網絡犯罪分子已實施了加密功能。 HabitsRAt使用公共密碼術對從攻擊活動的命令與控制（C2，C＆C）服務器接收的命令進行加密和身份驗證。公私鑰對是使用Proton Mail開源庫生成的。

身份驗證密鑰存儲在磁盤上。 Linux版本的HabitsRAT會根據其是否寫入' $ HOME / .config / .accounts-daemon / accounts-daemon.login.conf '或' /usr/share/accounts-daemon/accounts-daemon.so '是否以普通用戶身份簽名。 Windows版本的威脅使用“ ％SystemDrive％WindowsDefenderMsMpEng.dll ”或“ ％APPDATA％Windows NTDefenderMsMpEng.dll ”。

如果沒有收到命令，則HabitsRAT會休眠10秒鐘，然後將另一個請求發送到C2服務器。威脅參與者必須使用正確的密鑰對所有傳入通信進行簽名。

HabitsRAT的一個新的Windows版本

網絡安全研究人員發現了針對Windows系統的HabitsRAT變體的新版本。 HabitsRAT版本12似乎具有許多與其以前版本所顯示的功能相同的功能。主要區別在於，HabitsRAT現在支持多個C2地址時，需要一個新的C2密鑰。更具體地說，已經確定了四個不同的地址，威脅隨機選擇了其中一個。地址列表存儲在兩個文件中-' ％SystemDrive％WindowsDefenderDefender.dll '和
' ％APPDATA％Windows NTDefenderDefender.dll 。