Lime RAT: Çok işlevli kötü amaçlı yazılım analizi
Dünyanın klasik sıkıştırılmış paket yöneticisi WinRAR, yüksek riskli uzaktan kod yürütme güvenlik açıklarına maruz kaldığından bu yana, bu yüksek riskli güvenlik açıkları birçok siber saldırganın "gökyüzüne inen" "yeni favorisi" haline geldi. Son zamanlarda, Tencent Security Yujian Tehdit İstihbarat Merkezi, "Lime-RAT" adlı uzaktan kumandalı bir Truva atının WinRAR yüksek riskli güvenlik açığı (CVE-2018-20250) aracılığıyla kötü niyetle yayıldığını izledi ve keşfetti. Truva Atı, yapılandırma bilgilerini değiştirerek veya uzak komutları alarak zehirlenmiş bilgisayarı uzaktan kontrol edebilir ve hatta kullanıcının panosunu izler ve kullanıcı dijital para işlemlerini gerçekleştirirken "soygun" gerçekleştirir, bu da kullanıcının bilgilerini ve mülk güvenliğini büyük ölçüde oluşturur. Tehdit etti.
Son zamanlarda, Cofense Intelligence, Lime-RAT kullanarak bir kimlik avı kampanyası keşfetti ve ardından analiz etti. Lime RAT'ın kodu C # ile yazılmıştır ve .NET 4.0 üzerindedir. Lime RAT, Lime_Miner, Lime_Crypter ve Lime_USB'yi içeren kötü amaçlı yazılım kitaplığının bir parçasıdır. Bu kötü amaçlı yazılım açık kaynaktır ve .NET kötü amaçlı yazılımları için bir öğretim aracı olduğunu iddia eder. Bununla birlikte, zengin özellikleri ve iyi belgelenmiş olması nedeniyle, Lime RAT kötü niyetli davranışlar için de kullanılabilir.
Bu kötü amaçlı yazılım serisinin ilginç bir özelliği, iletişim için birden fazla bağlantı noktasının kullanılması ve bunun sonucunda iletişim kanallarının fazlalığına neden olmasıdır. Lime RAT yapı platformunun ve panelinin ilk kurulumu yalnızca iki şeyi gerektirir: bağlantı noktası numarası ve AES (Gelişmiş Şifreleme Standardı) 128 bit şifreleme anahtarı. Bağlantı noktası numarası, sunucuyu dinlemek için bağlantı noktasını açmak için kullanılır ve AES anahtarı, istemci ile sunucu arasındaki tüm iletişimi şifrelemek için kullanılır. Şekil 1, bağlantı noktaları ve AES anahtarlarıyla birlikte ilk kurulum bölmesini gösterir.
Yük oluşturucusu yalnızca onay kutularını ve metin giriş alanlarını içerir. Acemiler bile geçerli kötü amaçlı ikili dosyalar oluşturmak için bu alanları kullanabilir. Bu oluşturucu, saldırganların yükü farklı işlevler ve simgelerle özelleştirmesine olanak tanır. Ayrıca, saldırganın bir komut ve kontrol (C2) altyapısı kurmasına ve hedef bilgisayardaki dosyaları kalıcı olarak silmesine olanak tanır. Şekil 2, anti-sanal makineler dahil olmak üzere yükü özelleştirmek için kullanılabilecek işlevleri göstermektedir.
Lime RAT yükü oluşturulduktan ve hedef makineye gönderildikten ve hedef makinede yürütüldükten sonra, ikili dosya panele bağlanacaktır. İstemci bağlandığında, işletim sistemi, CPU, kullanıcı, ülke vb. Hakkında ayrıntılı bilgiler dahil olmak üzere bilgileri kontrol paneline gönderir. Kontrol paneli, belirli dosyaları indirme ve yürütme gibi görevleri istemcilere otomatik olarak atamak için seçenekler sunar. Şekil 3, bağlı istemciden gelen bilgileri içeren kontrol panelini gösterir ve Şekil 4, "OnConnect" otomatik görev panelini gösterir.
Kontrol paneli, saldırganın seçilen makineyi sağ tıklatmasına ve hedefi değiştirmek için komutları seçmesine olanak tanır. Saldırganlar şu saldırıları gerçekleştirebilir: fidye yazılımı şifrelemesini başlatabilir, Monero madencilerini silebilir, Uzak Masaüstü Protokolünü (RDP) etkinleştirebilir, bilgileri / şifreli para birimini çalabilir, vb.
Fidye yazılımı işlevi mesajları özelleştirebilir ve resimleri görüntüleyebilir. Bu RAT'nin fidye yazılımı işlevi hedef ana bilgisayarı şifrelemek için kullanıldığında, dosya uzantısı ".Lime" olacaktır. Şekil 7, şifreleme başladıktan sonra kullanıcıya görüntülenen özel mesajı ve varsayılan resmi göstermektedir.
Keylogger işlevi, içerik toplama açısından gelişmiş değildir. Yalnızca klavye tarafından girilen içeriği toplayabilir, otomatik doldurma veya panodan eklenen içeriği toplayamaz. Ancak keylogger, zaman damgasını görüntüleyen ve metin yazan uygulamayı çıkaracaktır. Şekil 8, Lime RAT bulaşmış bir bilgisayarda çalışan keylogger modülünün kontrol paneli çıktısını gösterir.
Yukarıdaki Şekil 2'de gösterildiği gibi, Lime RAT bir solucan gibi yayılabilir. Yükü oluştururken saldırgan, yükte "USB yayılımı" ve "sabit görev çubuğu uygulama yayılımı" işlevlerini içerebilir. USB yayılma işlevi, herhangi bir bağlı tip 2 cihazı bulur ve ardından herhangi bir dosyayı Lime RAT'ın yürütülebilir sürümüyle değiştirmeye çalışır. Bunu yaparken, Lime RAT artık virüslü dosyanın orijinal simgesini koruyacaktır. Bu simge bağlantılarının kısayol yolunu değiştirerek daha da yayabilirsiniz.
Lime RAT kontrol panelindeki "Küçük Resim" sekmesi (Şekil 9), etkilenen makinenin ekran görüntüsüdür. Bu ekran görüntüsü açılıp kapatılabilir ve bir zamanlayıcıya sahiptir. Ekran görüntüleri arasındaki varsayılan aralık 5 saniyedir.
Lime RAT'de oturum açmak, diğer RAT'lar kadar gelişmiş değildir. Aşağıdaki şekilde gösterildiği gibi, "Günlükler" sekmesi yalnızca bağlantı ve bağlantı kesmenin zaman damgasını ve IP'sini kaydeder.
Lime RAT, çeşitli işlevlere sahip açık kaynaklı, tamamen belgelenmiş bir .NET çerçevesi kötü amaçlı yazılım paketidir. Bu tür kötü amaçlı yazılımlar, büyük miktarda değerli bilgiyi çalabilir, fidyeyi şifreleyebilir ve / veya hedef ana bilgisayarı temel işlevlere sahip bir robota dönüştürebilir.Antivirüs yazılımından, sanal makine işlevlerinden, küçük ayak izinden ve şifreli iletişimden kaçınmak giderek daha fazlasını çekecektir. Birçok saldırgan.
Yazar: Gump, http: //www.mottoin.com/detail/3870.html adresinden yeniden üretilmiştir.
