Millenium Rat یک ابزار پیشرفته دسترسی از راه دور RAT (Remote Access Trojan) است که یک فایل اجرایی Win32 است که بر روی داتنت ساخته شده و سیستمهای ویندوز را هدف قرار میدهد. این بدافزار طیف پیچیدهای از عملکردهای مخرب است که برای جمعآوری اطلاعات حساس کاربر، دورزدن سیستمهای امنیتی، Backdoor و دسترسی از راه دور توسط مهاجمین ساخته شده است. نکته قابلتوجه این است که این Rat بهصورت عمومی در پلتفرمهایی مانند GitHub انتشار پیدا کرده و قابلدسترس است و توسعهدهنده آن را بهعنوان یک ابزار آموزشی معرفی میکند. نسخه رایگان آن محدود بوده و نسخه 2.4 آن بدون محدودیت به قیمت 30 دلار به فروش میرسد. این استراتژی معمولاً توسط توسعهدهندگان بدافزار برای انتشار گسترده بدافزار خود بهعنوان پروژههای آموزشی و تحقیقی استفاده میشود.
در نسخه 2.5 که جدیدترین نسخه از این Rat است با توجه به نیاز کاربر گزینه هایی را برای سفارشی سازی فراهم کرده است، کاربران می توانند جزئیاتی مانند ربات تلگرام، Keylogger و غیره را انتخاب کنند که این نشان دهنده سهولت دستکاری بدافزارهای متن باز و توزیع آنها است. به نظر می رسد که Millenium RAT مشتق شده از یک Rat متن باز تلگرام به نام ToxicEye RAT است که توسعه دهندگان می توانند از بدافزارهای متن باز استفاده کرده و آنها را با نیازها و روش های روز تطبیق داده و با توجه به هدف مورد نظر تغییر کاربری دهند.
در هنگام اجرا، RAT به C2 سرور مهاجم متصل می شود تا اطلاعاتی را در مورد مکان قربانی جمع آوری کند که شامل کشور، شهر، ISP، طول جغرافیایی، عرض جغرافیایی، منطقه زمانی و غیره است. Rat از تکنیک های مختلفی برای Bypass کردن سیستم های امنیتی مانند پنهان کردن پنجره کنسول بدافزار استفاده می کند و این قابلیت را دارد به طور خودکار در هنگام راه اندازی سیستم اجرا شود. همچنین با جمع آوری اطلاعات سیستم محیط های ماشین مجازی، نرم افزار Sandbox و آنتی ویروس های نصب شده را شناسایی می کند. به طور مثال برای تشخیص محیط های مجازی ویژگی های کلاس Win32_ComputerSystem مانند Manufacture و Model را بررسی می کند یا کلمات کلیدی مانند Vmware و Virtual را جستجو می کند، همچنین ویژگی های کلاس Win32_VideoController را برای شناسایی VirtualBox یا Vmware بررسی می کند. همچنین با استفاده از GetModuleHandle وجود DLL های مرتبط با Sandbox را بررسی می کند. با بررسی این کلاس ها و کلمات کلیدی تشخیص می دهد که Rat داخل یک محیط ایزوله یا دیباگر اجرا می شود یا خیر اگر داخل محیط ایزوله باشد فرایند اجرا کردن Rat تغییر پیدا میکند.
Millenium ابزارهای نظارت بر شبکه یا تجزیهوتحلیل بدافزار را شناسایی و مختل میکند مانند Netstat، Wireshark، Process Hacker و غیره. همچنین قابلیت نصب و حذف خودکار خود را دارد.
یکی از اهداف اصلی Millenium سرقت دادههای حساس مرورگرهای وب مختلف مانند Chrome، Brave ،Opera و غیره است. پس از سرقت اطلاعاتی مانند رمزهای عبور، جزئیات کارت اعتباری، کوکیها آنها را در فایلهای جداگانه (Password.txt، Browser.txt و.) ذخیره میکند و این فایلها را در یک فایل ZIP فشرده میکند و در مرحله آخر با استفاده از API تلگرام به سرور مهاجم ارسال میکند.
راه هایی برای کاهش این خطر پذیری
- عدم دانلود و اجراکردن برنامههای مشکوک
- نظارت بر پروسسهای در حال اجرا
- نظارت بر ترافیک شبکه
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده فعالیتهای بدافزارهای دسترسی از راه دور
- مشاهده پروسسهای مشکوک
- مشاهده فعالیتهای مرتبط با Millenium
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Execution | Persistence | Defense Evasion | Credential Access<= /td> | Discovery | Collection | Exfiltration | Impact |
| Drive-by Comprom= ise | AppleScript | .bash_profile and .bashrc | Access Token Manipulation | Account Manipulation | Account Discovery | Audio Capture | Automated Exfiltration | Account Access Removal |
| Exploit Public-F= acing Application | CMSTP | Accessibility Features | Binary Padding | Bash History | Application Window Discovery | Automated Collection | Data Compressed | Data Destruction |
| External Remote = Services | Command-Line Interface | Account Manipulation | BITS Jobs | Brute Force | Browser Bookmark Discovery | Clipboard Data | Data Encrypted | Data Encrypted for Impact |
| Hardware Additio= ns | Compiled HTML File | AppCert DLLs | Bypass User Account Control | Credential Dumping | Domain Trust Discovery | Data from Information Repositories | Data Transfer Size Limits | Defacement |
| Replication Thro= ugh Removable Media | Component Object Model and Distributed COM | AppInit DLLs | Clear Command History | Credentials from Web Browsers | File and Directory Discovery | Data from Local System | Exfiltration Over Alternative Protocol | Disk Content Wipe |
| Spearphishing At= tachment | Control Panel Items | Application Shimming | CMSTP | Credentials in Files | Network Service Scanning | Data from Network Shared Drive | Exfiltration Over Command and Control Channel | Disk Structure Wipe |
| Spearphishing Li= nk | Dynamic Data Exchange | Authentication Package | Code Signing | Credentials in Registry | Network Share Discovery | Data from Removable Media | Exfiltration Over Other Network Medium | Endpoint Denial of Service |
| Spearphishing vi= a Service | Execution through API | BITS Jobs | Compile After Delivery | Exploitation for Credential Access | Network Sniffing | Data Staged | Exfiltration Over Physical Medium | Firmware Corruption |
| Supply Chain Com= promise | Execution through Module Load | Bootkit | Compiled HTML File | Forced Authentication | Password Policy Discovery | Email Collection | Scheduled Transfer | Inhibit System Recovery |
| Trusted Relation= ship | Exploitation for Client Execution | Browser Extensions | Component Firmware | Hooking | Peripheral Device Discovery | Input Capture | Network Denial of Service | |
| Valid Accounts | Graphical User Interface | Change Default File Association | Component Object Model Hijacking | Input Capture | Permission Groups Discovery | Man in the Browser | Resource Hijacking | |
| InstallUtil | Component Firmware | Connection Proxy | Input Prompt | Process Discovery | Screen Capture | Runtime Data Manipulation | ||
| Launchctl | Component Object Model Hijacking | Control Panel Items | Kerberoasting | Query Registry | Video Capture | Service Stop | ||
| Local Job Scheduling | Create Account | DCShadow | Keychain | Remote System Discovery | Stored Data Manipulation | |||
| LSASS Driver | DLL Search Order Hijacking | Deobfuscate/Decode Files or Information | LLMNR/NBT-NS Poisoning and Relay | Security Software Discovery | System Shutdown/Reboot | |||
| Mshta | Dylib Hijacking | Disabling Security Tools | Network Sniffing | Software Discovery | Transmitted Data Manipulation | |||
| PowerShell | Emond | DLL Search Order Hijacking | Password Filter DLL | System Information Discovery | ||||
| Regsvcs/Regasm | External Remote Services | DLL Side-Loading | Private Keys | System Network Configuration Discovery | ||||
| Regsvr32 | File System Permissions Weakness | Execution Guardrails | Securityd Memory | System Network Connections Discovery | ||||
| Rundll32 | Hidden Files and Directories | Exploitation for Defense Evasion | Steal Web Session Cookie | System Owner/User Discovery | ||||
| Scheduled Task | Hooking | Extra Window Memory Injection | Two-Factor Authentication Interception | System Service Discovery | ||||
| Scripting | Hypervisor | File and Directory Permissions Modification | System Time Discovery | |||||
| Service Execution | Image File Execution Options Injection | File Deletion | Virtualization/Sandbox Evasion | |||||
| Signed Binary Proxy Execution | Kernel Modules and Extensions | File System Logical Offsets | ||||||
| Signed Script Proxy Execution | Launch Agent | Gatekeeper Bypass | ||||||
| Source | Launch Daemon | Group Policy Modification | ||||||
| Space after Filename | Launchctl | Hidden Files and Directories | ||||||
| Third-party Software | LC_LOAD_DYLIB Addition | Hidden Users | ||||||
| Trap | Local Job Scheduling | Hidden Window | ||||||
| Trusted Developer Utilities | Login Item | HISTCONTROL | ||||||
| User Execution | Logon Scripts | Image File Execution Options Injection | ||||||
| Windows Management Instrumentation | LSASS Driver | Indicator Blocking | ||||||
| Windows Remote Management | Modify Existing Service | Indicator Removal from Tools | ||||||
| XSL Script Processing | Netsh Helper DLL | Indicator Removal on Host | ||||||
| New Service | Indirect Command Execution | |||||||
| Office Application Startup | Install Root Certificate | |||||||
| Path Interception | InstallUtil | |||||||
| Plist Modification | Launchctl | |||||||
| Port Knocking | LC_MAIN Hijacking | |||||||
| Port Monitors | Masquerading | |||||||
| PowerShell Profile | Modify Registry | |||||||
| Rc.common | Mshta | |||||||
| Re-opened Applications | Network Share Connection Removal | |||||||
| Redundant Access | NTFS File Attributes | |||||||
| Registry Run Keys / Startup Folder | Obfuscated Files or Information | |||||||
| Scheduled Task | Parent PID Spoofing | |||||||
| Screensaver | Plist Modification | |||||||
| Security Support Provider | Port Knocking | |||||||
| Server Software Component | Process Doppelgänging | |||||||
| Service Registry Permissions Weakness | Process Hollowing | |||||||
| Setuid and Setgid | Process Injection | |||||||
| Shortcut Modification | Redundant Access | |||||||
| SIP and Trust Provider Hijacking | Regsvcs/Regasm | |||||||
| Startup Items | Regsvr32 | |||||||
| System Firmware | Rootkit | |||||||
| Systemd Service | Rundll32 | |||||||
| Time Providers | Scripting | |||||||
| Trap | Signed Binary Proxy Execution | |||||||
| Valid Accounts | Signed Script Proxy Execution | |||||||
| Web Shell | SIP and Trust Provider Hijacking | |||||||
| Windows Management Instrumentation Event Subscriptio= n | Software Packing | |||||||
| Winlogon Helper DLL | Space after Filename | |||||||
| Template Injection | ||||||||
| Timestomp | ||||||||
| Trusted Developer Utilities | ||||||||
| Valid Accounts | ||||||||
| Virtualization/Sandbox Evasion | ||||||||
| Web Service | ||||||||
| XSL Script Processing |