Saefko: un nouveau RAT multicouche

Saefko: un nouveau RAT multicouche
4.7 (93%) 20 votes



Récemment, l'équipe Zscaler ThreatLabZ a découvert un nouveau cheval de Troie d'accès à distance (RAT) à vendre sur le Web sombre. Le RAT, appelé Saefko, est écrit en .NET et possède de multiples fonctionnalités. Ce blog fournit une analyse détaillée de ce programme malveillant, y compris ses modules HTTP, IRC et de vol et de diffusion de données. Contexte Un fichier RAT est un type de logiciel malveillant qui comprend une porte dérobée pour le contrôle administratif à distance de l'ordinateur ciblé. Les fichiers RAT sont généralement téléchargés lorsqu'un utilisateur ouvre une pièce jointe ou télécharge une application ou un jeu infecté. Dans la mesure où un fichier RAT permet le contrôle administratif, l’intrus peut effectuer à peu près n'importe quoi sur l’ordinateur cible, comme surveiller le comportement des utilisateurs en enregistrant les frappes au clavier, accéder aux informations confidentielles, activer la webcam du système, prendre des captures d’écran, formater des disques, etc. En cas d'infection réussie, le Saefko RAT reste en arrière-plan et s'exécute chaque fois que l'utilisateur se connecte. Il récupère l'historique du navigateur Chrome à la recherche d'activités spécifiques, telles que les cartes de crédit, les entreprises, les médias sociaux, les jeux, la crypto-monnaie, les achats. , et plus. Il envoie les données qu'il a collectées à son serveur de commande et de contrôle (C & C) et demande des instructions supplémentaires. Le C & C demande au logiciel malveillant de fournir des informations système et le RAT commencera à collecter une gamme de données comprenant des captures d'écran, des vidéos, des journaux de frappe, etc. C & C peut également demander au logiciel malveillant de télécharger une charge supplémentaire sur le système infecté. Les RAT représentent une menace commerciale unique. Ils ont la capacité de voler beaucoup de données sans être détectés et diffusés sur d'autres systèmes du réseau. L’équipe ThreatLabZ a également fait exploser le Saefko RAT dans le Sandbox Zscaler Cloud afin de déterminer ses fonctionnalités, ses communications et la menace potentielle. L'analyse technique du malware Saefko RAT Saefko se décompresse elle-même et place le fichier saefkoagent.exe dans «/%AppData%/Roaming/SaefkoAgent.exe» et l'exécute. Il se copie également dans «/%AppData%/Roaming/windows.exe» et «/%AppData%/Local/explorer.exe» et les exécute. Clé de démarrage automatique Le logiciel malveillant Saefko crée une clé de démarrage pour exécuter le logiciel malveillant à chaque connexion. S'il exécute à partir d'un compte administrateur, il crée la clé de registre suivante: «HKLM SOFTWARE Microsoft Windows CurrentVersion Run explorer». Sinon, il crée une clé de registre dans le chemin suivant: «HKCU SOFTWARE Microsoft Fonctionnalité Windows CurrentVersion Run explorer "Saefko commence par vérifier si la connexion Internet est active en se connectant à" clients3.google.com/generate_204 ". Il utilise ensuite une technique unique pour identifier si le système infecté contient des informations vitales. Il récupère l'historique du navigateur, recherche des sites Web particuliers visités par l'utilisateur et effectue un décompte en fonction des catégories mentionnées ci-dessous. À partir des comptes, l’attaquant peut déterminer quels systèmes il doit cibler en premier à partir de tous les systèmes infectés. La liste des différentes catégories recherchées comprend: Possibilité de carte de crédit paypal.com 2c2p adyen.com volusion.com pay.amazon.com apple.com/apple-pay/atos.net authorize.net BIPS bitpay.com bpay.com braintreepayments. centup.org cm.com creditcall.com cybersource.com mastercard.com digi.cash digitalriver.com dwolla.com elavon.com euronetworldwide.com eway.io firstdata.com fortumo.com pay.google.com/send/home heartlandpaymentsystems .com ingenico.com ippayments.com klarna.com emergentpayments.ne moduslink.com mpay.com neteller.com ofx.com En savoir plus payoneer.com paiementwall.com paypoint.co paysbuy.com paysafe.com paytm.com payzone.fr crunchbase.com qiwi.com globalpaymentsinc.com reddotpayment.co m sagellc.com skrill.com stripe.com squareup.com tencent.com transfermate.com transferwise.com wmtransfer.com trustly.com wepay.com verifone.com xendpay.com pay.weixin.qq.com money.yandex.ru wirecard .com truemoney.com xsolla.com myshopify.com/admin payza.com 2checkout.com 3dcart.com paysafecard.com weebly.com Valeur de l'activité de jeu origin.com steampowered.com g2a.com twitch.tv nichegamer.com techraptor.net gematsu estructoid.com pcgamer.com gamefaqs.gamespot.com gamespot.com siliconera.com rockpapershotgun.com thumb up thumb down gameinformer.com glyde.com gamestop.com microsoft.com/account/xboxlive playstation.com/en-us/network / store nintendo.com/games gog.c om game.co.uk itch.io gamefly.com greenmangaming.com gaming.youtube.com valeur de crypto-monnaie etoro.com 24option.com puatrack.com/coinbull2/ luno.com paxforex.com binance.com coinbase.com cex.io changelly .com coinmama.com xtrade.ae capital.com paxful.com kraken.com poloniex.com gemini.com bithumb.com xcoins.io cobinhood.com coincheck.com coinexchange.io shapeshift.io bitso.com indacoin.com cityindex.co .fr bitbay.net bitstamp.net cryptopia.co.nz pro.coinbase.com kucoin.com bitpanda.com foxbit.com.br bitflyer.com bitfinex.com bit-z.com quadrigacx.com quadrigacx.com big.one lakebtc .com wex.nz kuna.io yobit.io zebpay.com hitbtc.com bx.in.th trezor.io electrum.org blockchain.com crypto.robinhood.com exodus.io mycelium.com bitcointalk.org btc-e.com moonbit.co.in bitcoinaliens.com bitcoinwisdom.com coindesk.com cointelegraph.com ccn.com reddit.com/r / Bitcoin / bitcoin.org/fr/blog newsbtc.com blog.spectrocoin.com blog.coinbase.com bitcoinist.com forklog.com abitcoinc.com bitcoin.stackexchange.com news.bitcoin.com blog.bitfinex.com blog.genesis -mining.com Activité Instagram instagram.com m.instagram.com Activité Facebook facebook.com m.facebook.com Activité Youtube youtube.com m.youtube.com Activité Google+ plus.google.com m.plus.google.com Activité Gmail gmail.com mail.google.com Shopping activité boohoo.com gymshark.com mail.google.com prettylittlething.com showpo.com athleta.com ae.com ruelala.com asos.com superdry.com zaful.com zafulswimwear.com luckybrand.com forever21.com urbanoutfitters.com nastygal. com jcrew.com anthropologie.com allsaints.com uniqlo.com armaniexchange.com fashionnova.com saksoff5th.com cible.com macys.com barneys.com zappos.com sneakersnstuff.com yoox.com nike.com simmi.com amazon.com ebay .com walmart.com newegg.com bestbuy.com ftd.com 1800flowers.com glossier.com sephora.com thebodyshop.com ulta.com horchow.com homedepot.com pier1.com litbathandbeyond.com wayfair.com shoptiques.com viator.com etsy.com cloud9living.com seatgeek.com aliexpress.com alibaba.com Valeur commerciale linkedin.com twitter.com nasdaq.com ft.com reuters.com nyse.com tsx.com marketwatch.com thestreet.com wsj.com invest.com investopedia.com finance.yahoo.com lookingalpha .com fool.com investorguide.com zacks.com home.saxo thumb up thumb down swissquote.com cmcmarkets.com fxpro.co.uk forex.com dukascopy.com interactivebrokers.com tdameritrade.com bankofinternet.com ally.com bankpurely.com redneck .bank Saefko collecte également des données d’application utilisateur supplémentaires, notamment: Commande Description irc_channel Nom du canal IRC irc_nick Nom Surnom irc_password Canal IRC Mot de passe irc_port Port IRC serveur irc_server Nom du serveur machine_active_time Disponibilité du système machine_artct Architecture de la machine machine_bitcoin_value Nombre de sites de crypto-monnaie visités par l'utilisateur machine_business_value Nombre de sites d'entreprise visités par l'utilisateur machine_calls_activity 0 machine_camera_activity Nombre de fichiers «.png» présents sur le poste machine_country_ic_code ipinfo.io/geo ”machine_lat latitude machine_lng longitude machine_creadit_card_posiblty Vérifie le nombre de sites de paiement visités par l'utilisateur machine_current_time Comptant l'heure actuelle de la machine machine_facebook_activity Vérifie le nombre de fois où l'utilisateur a visité facebook machine_gaming_value Vérifie le nombre de fois où l'utilisateur a visité les sites de jeux machine_gmail_avtiv. ity Vérifie le nombre de visites de l'utilisateur par gmail machine_googleplus_activity Vérifie le nombre de visites de l'utilisateur google + machine_instgram_activty Vérifie le nombre de visites de l'utilisateur Instagram machine_ip IP de la machine machine_lat Emplacement géographique du système (latitude) machine_lng Emplacement géographique du système (longitude) machine_os_type 1 machine_screenshot Capture la capture d'écran et la code en base 64 machine_shooping_activity Vérifie le nombre de fois où l'utilisateur visite les sites de magasinage. Le RAT envoie les données collectées à un serveur de commande et de contrôle comme indiqué ci-dessous: Après avoir obtenu une réponse «ok» de la Saefko lance la fonction «StartServices», qui comporte quatre modules d’infection différents: HTTPClinet IRCHelper KEYLogger StartLocalServices (propagation USB) HTTP Clinet (faute d'orthographe du client HTTP par l'auteur). Le RAT envoie une requête au serveur demandant une nouvelle tâche. Elle envoie la commande «UpdateAndGetTask» ainsi que d'autres informations, notamment machine_ID, machine_os et privateip, comme indiqué ci-dessous: La tâche est l'URL à partir de laquelle le logiciel malveillant a téléchargé le nouveau contenu et l'a exécuté sur la machine infectée. Key Logger Le malware utilise l'API SetWindowsHookEx pour capturer les frappes au clavier. Il enregistre les frappes saisies dans un fichier «log.txt». Le chemin du fichier est: «% AppData% Local log.txt». Aide IRC Tout d'abord, le logiciel malveillant déconnecte la connexion IRC actuelle. Ensuite, il envoie les informations d’état au C & C comme indiqué ci-dessous: pass: password commande: UpdateHTTPIRCStatus machine_id: identifiant unique envoyé par C & C dans une requête antérieure irc_status: 1 Procès-verbal récupéré Liste de serveurs: il sélectionne un serveur dans la liste ci-dessous. Port: port Surnom: génère un nom aléatoire de 7 caractères. Liste des serveurs IRC et des ports. Serveur IRC Port Serveur IRC Port irc.afterx.net 6667 irc.cyanide-x.net 6667 chat.freenode.net 6667 irc.europnet.org 6667 irc .azzurra.org 6669 irc.rizon.net 6669 irc.dal.net 6667 irc.efnet.org 6667 irc.gamesurge.net 6667 open.ircnet.net 6669 irc.quakenet.org 6667 irc.swiftirc.net 6667 eu.undernet .org 6667 irc.webchat.org 7000 irc.2600.net 6667 irc.abjects.net 6669 irc.accessirc.net 6667 irc.afternet.org 6667 irc.data.lt 6667 irc.allnetwork.org 6667 irc.alphachat.net 6667 irc.austnet.org 6667 irc.axenet.org 6667 irc.ayochat.or.id 6667 irc.beyondirc.net 6669 irc. blitzed.org 6667 irc.bongster.org 6669 irc.caelestia.net 6667 irc.canternet.org 6667 irc.chatall.org 6669 irc.chatcafe.net 6667 irc.chatspike.net 6667 irc.chatzona.org 6667 irc.criten. net 6667 irc.cyberarmy.net 6667 irc.dt-net.de 6667 irc.darkmyst.org 6667 irc.deepspace.org 6667 irc.dream-irc.de 6667 irc.drlnet.com 6667 irc.dynastynet.net 6667 irc. echo.com 6667 irc.ecnet.org 6667 irc.enterthegame.com 6667 irc.epiknet.org 6667 irc.esper.net 6667 irc.euirc.net 6669 irc.evolu.net 6667 irc.explosionirc.net 6667 irc.fdfnet. net 6668 irc.fef.net 6667 Saefko se connecte à l'un de ces serveurs et attend une réponse. Dans la réponse, il vérifie la chaîne «T_T» et tous les messages distincts utilisant cette chaîne. Vous trouverez ci-dessous la liste des fonctions IRC pouvant être exécutées par le RAT. Selon l'ordre reçu, Saefko répondra avec les données correspondantes. Liste des commandes IRC Commande IRC Description dexe Téléchargez un fichier à partir d’une URL donnée et exécutez-le hdexe Téléchargez un fichier à partir d’une URL donnée et exécutez-le (UseShellExecute = false) vistpage Ouvrir une URL hvistpage Ouvrir une URL (UseShellExecute = false) Capture instantanée de la capture vidéo, se convertit en Base64 et envoie à C & C (informations détaillées expliquées ci-dessous); répond également «.oksnapshot» shell Exécute la commande à l’aide de cmd.exe tcp Établit une connexion tcp à l’aide d’une adresse IP et d’un port donnés. identifier Envoyer les informations système: Type de système d'exploitation: Microsoft Windows Version du système d'exploitation: Version du système d'exploitation Nom d'utilisateur: Nom d'utilisateur OS Nom machine: Nom système OS Répertoire système: Répertoire système ouvert Ouvrez le lecteur de CD-ROM. Commande: set CDAudio door open closecd Ferme le lecteur de CD-ROM. Commande: définir la porte fermée de CDAudio screenshot Capture d'écran, encodez-la en Base64 et envoyez-la à C & C ping Répondre «okping» camlist Récupère les périphériques vidéo du système et envoie des informations aux informations C & C détaillées ci-dessous. pwd Emplacement du répertoire en cours Obtient l'emplacement du système à l'aide des «keylogs» IP, ville, région, pays, latitude et longitude de «https://ipinfo.io/geo». Encodez le fichier de log de frappe (log.txt) à l'aide de base64 et envoyez-le à C & C uninstall Supprimer la clé de registre autostart (RUN) et se terminer elle-même. Camlist Saefko recherche également les charges utiles suivantes dans le système: AForge.dll AForge.Video.DirectShow.dll AForge.Video.dll Sqlite3.dll Si ces fichiers ne sont pas présents, le logiciel malveillant envoie une demande au C & C pour télécharger ces fichiers. Ensuite, il recherche une liste de périphériques d'entrée vidéo sur le système ciblé et envoie les informations associées au C & C. Capture instantanée Saefko capture également les vidéos de l'appareil présent sur le système, code la trame vidéo avec Base64 et l'envoie au contrôleur. Démarrer le service USB Saefko vérifie si le type de lecteur est amovible ou en réseau, après quoi il démarre l'infection et copie les fichiers ci-dessous sur un lecteur amovible. Sas.exe USBStart.exe usbspread.vbs Sas.exe est une copie du programme malveillant même. USBStart.exe est extrait de la section des ressources du binaire principal. Il contient le code pour exécuter Sas.exe. Il crée un fichier usbspread.vbs puis l'exécute. Il recherche dans chaque répertoire et dans tous les fichiers et crée un fichier «lnk» pour chaque fichier et répertoire avec un fichier de chemin cible USBStart.exe. Lorsque le périphérique amovible est branché sur un autre système, l'utilisateur est incité à cliquer sur un fichier LNK car les fichiers et le dossier principaux sont masqués. Le fichier LK exécute le fichier USBStart.exe qui finit par exécuter Sas.exe, qui est la charge utile principale. Donc, cela infecte d’autres systèmes. Vous trouverez ci-dessous le code du fichier usbspread.vbs: Un forum en ligne contient une annonce pour un outil Saefko RAT fissuré, comme indiqué ci-dessous. Il s’agit d’un outil d’administration à distance multiprotocole, multi-systèmes d’exploitation pouvant être utilisé pour lancer le programme malveillant sur des appareils Windows et Android. Conclusion Pour protéger les systèmes contre les fichiers RAT, les utilisateurs doivent s’abstenir de télécharger des programmes ou d’ouvrir des pièces jointes qui ne proviennent pas d’une source fiable. Au niveau administratif, il est toujours judicieux de bloquer les ports inutilisés, de désactiver les services inutilisés et de surveiller le trafic sortant. Les attaquants veillent souvent à empêcher le malware de faire trop d'activité en même temps, ce qui ralentirait le système et pourrait éventuellement attirer l'attention de l'utilisateur et du service informatique. L’équipe Zscaler ThreatLabZ continue de surveiller cette menace et d’autres pour s’assurer que les clients de Zscaler sont protégés. IOCs md5: D9B0ECCCA3AF50E9309489848EB59924 C4825334DA8AA7EA9E81B6CE18F9C15F 952572F16A955745A50AAF703C30437C 4F2607FAEC3CB30DC8C476C7029F9046 7CCCB06681E7D62B2315761DBE3C81F9 5B516EAB606DC3CC35B0494643129058 Downloader URL: industry.aeconex com / receipt-inv.zip 3.121.182 157 / DWD / explorer.exe 3.121.182 157 / DWD / VMP (.) (.) (.). exe deqwrqwer.kl (.) com.ua/ex/explorer.exe maprivate (.) date / dhl-miss% 20craciun% 20ana% 20maria% 20 # bw20feb19.zip URL du réseau: acpananma (.) com / love / server. php 3.121.182 (.) 157 / smth / server.php f0278951.xsph (.) ru / server.php maprivate (.) date / server.php

Articles récents par auteur

*** Ceci est un blog syndiqué réseau Security Bloggers de écrit par. Lire le message original à:



Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *