طی این گزارش درباره فعالیت های توسعه و استفاده از بدافزارهای RAT و عامل تهدیدی به نام Anonymous Arabic می پدازیم. بدافزار SilverRAT که با زبان #C توسعه پیدا کرده است، توانایی دورزدن آنتی ویروس ها و اجرای مخفیانه اپلیکیشن ها از جمله مرورگرها، Keylogger و… را دارد.
توسعه دهندگان این بدافزار در چندین انجمن هکری و شبکه اجتماعی فعالیت می کنند و فعالیت و حضور خاصی از خود نشان می دهند و حتی در کانال های تلگرامی خود خدمات متفاوتی از جمله توزیع Rat های کرک شده، دیتابیس های لیک شده، فعالیت های پولشویی و همچنین ربات های شبکه های اجتماعی ارائه می دهند.
بدافزار SilverRAT طی نوامبر سال ۲۰۲۳ رویت شد. سازنده SilverRAT همچنین محصول دیگری به نام S500 Rat نیز توسعه داده است. درحالی که SilverRAT فقط برای سیستم ویندوزی کار می کند، آخرین اخبار از سمت توسعه دهنده نشان می دهد که برای نسخه جدید آن در نظر دارد قابلیت استفاده آن بر روی سیستم عامل اندروید را نیز فراهم آورد. نسخه اولیه آن قابلیت هایی همچون Keylogger، دورزدن UAC، رمزنگاری داده ها و استفاده از باج افزار و قابلیت ازبین بردن نقاط بازیابی سیستم را دارا می باشد. ازآنجایی که عامل تهدید فعالیت بالایی در انواع انجمن ها داشته، در حوالی ماه اکتبر SilverRAT کرک و در تلگرام و گیت هاب پخش شد و حالا کاربران این دو پلتفرم می توانند نسخه کرک شده آن را بدون پرداخت وجه مورداستفاده قرار دهند. همچنین اسنادی از مکالمه مشتری و فروشندگان SilverRAT وجود دارد که نشان می دهد این بدافزار کارایی مؤثری همچون xworm را دارا نیست.
برنامه SilverRAT دارای یک پنل گرافیکی برای کاربر است که با انتخاب قابلیت های مدنظر پیلود را ایجاد می کند. از جمله قابلیتهای آن می توان موارد زیر را نام برد:
- مهاجم می تواند یک آدرس IP و پورت یا یک صفحه وب را برای استفاده به عنوان Command and Control استفاده کند.
- زمانی که برنامه برای اولین بار اجرا می شود با ایجاد تغییرات درWindows Defender، نام برنامه را در بخش استثنا قرار می دهد تا شناسایی نشود.
- مهاجم می تواند نقاط بازیابی یا Restor Point های ویندوز را حذف کند. در این صورت زمانی که سیستم خاموش و آماده بازیابی می شود، این عمل کاملاً بی فایده خواهد بود.
- مهاجم می تواند زمان اجرای پیلود را تنظیم کند.
- امکان مخفی سازی نام پروسه در Task Manager و یا تنظیم نام دلخواه برای آن وجود دارد.
- با استفاده از FUD Crypters می تواند نرم افزارهای آنتی ویروس را دور بزند.
و نکته قابل توجه اینجاست، زمانی که کاربر قابلیت های بیشتری برای پیلود در نظر می گیرد، حجم پیلود نیز طبیعتاً اضافه می شود. حجم پیلود حداقل ۴۰ و حداکثر تا ۵۰ کیلوبایت مشاهده شده. در زمان اجرای پروسه، پیلود net. می تواند با روش های مختلف مهندسی اجتماعی به قربانی ارسال شود. در زمان اجرا، برنامه درخواست دسترسی ادمین را نمایش می دهد و سپس یک پنجره CMD برای کمتر از ۲ دستورات را اجرا و سپس بسته می شود. بعدازاین که پیلود از سیستم قربانی اتصالی دریافت کرد، در لیست اهداف پنل قابل مشاهده خواهد بود. با وجود اتصال و دسترسی ادمین به سیستم قربانی، مهاجم می تواند کارهای مختلفی از جمله اجرای RDP، شنود میکروفون سیستم، مشاهده وب کم، اجرای مخفیانه مرورگر و برنامهها و حتی چت استفاده کند.
راه هایی برای کاهش این خطر پذیری
- عدم کلیک بر روی لینک های ناشناس و ایمیل های مشکوک
- آپدیت نگه داشتن سیستم ها و پچ آسیب پذیری
- آمورش و آگاهی رسانی در مورد انواع حملات
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده و جلوگیری از دانلود و اجرای فایل های مشکوک و مخرب
- جلوگیری از رفتار خطرناک و دستورات مخرب
- شناسایی ترافیک مشکوک و جلوگیری از اقدامات خطرناک مهاجم
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Execution | Persistence | Privilage Escalation | Defense Evasion | Credential Access | Discovery | Collection | Exfiltration |
| AppleScript | .bash_profile and .bashrc | Abuse elevation control mechanism | Access Token Manipulation | Account Manipulation | Account Discovery | Audio Capture | Automated Exfiltration |
| CMSTP | Accessibility Features | Access token manipulation | Binary Padding | Bash History | Application Window Discovery | Automated Collection | Data Compressed |
| Command-Line Interface | Account Manipulation | Account manipulation | BITS Jobs | Brute Force | Browser Bookmark Discovery | Clipboard Data | Data Encrypted |
| Compiled HTML File | AppCert DLLs | Boot or logon autostart execution | Bypass User Account Control | Credential Dumping | Domain Trust Discovery | Data from Information Repositories | Data Transfer Size Limits |
| Command and scripting interpreter | AppInit DLLs | Boot or logon Initialization scripts | Clear Command History | Credentials from Web Browsers | File and Directory Discovery | Data from Local System | Exfiltration Over Alternative Protocol |
| Component Object Model and Distributed COM | Application Shimming | Create or modify system process | CMSTP | Credentials in Files | Network Service Scanning | Data from Network Shared Drive | Exfiltration Over Command and Control Channel |
| Control Panel Items | Authentication Package | Domain policy modification | Code Signing | Credentials in Registry | Network Share Discovery | Data from Removable Media | Exfiltration Over Other Network Medium |
| Dynamic Data Exchange | BITS Jobs | Escape to host | Compile After Delivery | Exploitation for Credential Access | Network Sniffing | Data Staged | Exfiltration over c2 channel |
| Execution through API | Bootkit | Event triggered execution | Compiled HTML File | Forced Authentication | Password Policy Discovery | Email Collection | Exfiltration Over Physical Medium |
| Execution through Module Load | Browser Extensions | Exploiting for privilege escalation | Component Firmware | Hooking | Peripheral Device Discovery | Input Capture | Scheduled Transfer |
| Exploitation for Client Execution | Change Default File Association | Hijack execution flow | Component Object Model Hijacking | Input Capture | Permission Groups Discovery | Man in the Browser | Exfilteration over web service |
| Graphical User Interface | Component Firmware | Process injection | Connection Proxy | Input Prompt | Process Discovery | Screen Capture | |
| InstallUtil | Component Object Model Hijacking | scheduled task/job | Control Panel Items | Kerberoasting | Query Registry | Video Capture | |
| Launchctl | Create Account | Valid accounts | DCShadow | Keychain | Remote System Discovery | ||
| Local Job Scheduling | DLL Search Order Hijacking | Deobfuscate/Decode Files or Information | LLMNR/NBT-NS Poisoning and Relay | Security Software Discovery | |||
| LSASS Driver | Dylib Hijacking | Disabling Security Tools | Network Sniffing | Software Discovery | |||
| Mshta | Emond | DLL Search Order Hijacking | Password Filter DLL | System Information Discovery | |||
| PowerShell | External Remote Services | DLL Side-Loading | Private Keys | System Network Configuration Discovery | |||
| Regsvcs/Regasm | File System Permissions Weakness | Execution Guardrails | Securityd Memory | System Network Connections Discovery | |||
| Regsvr32 | Hidden Files and Directories | Exploitation for Defense Evasion | Steal Web Session Cookie | System Owner/User Discovery | |||
| Rundll32 | Hooking | Extra Window Memory Injection | Two-Factor Authentication Interception | System Service Discovery | |||
| Scheduled Task | Hypervisor | File and Directory Permissions Modification | Unsecured credentials | System Time Discovery | |||
| Scripting | Image File Execution Options Injection | File Deletion | Steal application access token | Virtualization/Sandbox Evasion | |||
| Service Execution | Kernel Modules and Extensions | File System Logical Offsets | |||||
| Signed Binary Proxy Execution | Launch Agent | Gatekeeper Bypass | |||||
| Signed Script Proxy Execution | Launch Daemon | Group Policy Modification | |||||
| Source | Launchctl | Hidden Files and Directories | |||||
| Space after Filename | LC_LOAD_DYLIB Addition | Hidden Users | |||||
| Third-party Software | Local Job Scheduling | Hidden Window | |||||
| Trap | Login Item | HISTCONTROL | |||||
| Trusted Developer Utilities | Logon Scripts | Image File Execution Options Injection | |||||
| User Execution | LSASS Driver | impair defenses | |||||
| Windows Management Instrumentation | Modify Existing Service | Indicator Blocking | |||||
| Windows Remote Management | Netsh Helper DLL | Indicator Removal from Tools | |||||
| XSL Script Processing | New Service | Indicator Removal on Host | |||||
| Office Application Startup | Indirect Command Execution | ||||||
| Path Interception | Install Root Certificate | ||||||
| Plist Modification | InstallUtil | ||||||
| Port Knocking | Launchctl | ||||||
| Port Monitors | LC_MAIN Hijacking | ||||||
| PowerShell Profile | Masquerading | ||||||
| Rc.common | Modify Registry | ||||||
| Re-opened Applications | Mshta | ||||||
| Redundant Access | Network Share Connection Removal | ||||||
| Registry Run Keys / Startup Folder | NTFS File Attributes | ||||||
| Scheduled Task | Obfuscated Files or Information | ||||||
| Screensaver | Parent PID Spoofing | ||||||
| Security Support Provider | Plist Modification | ||||||
| Server Software Component | Port Knocking | ||||||
| Service Registry Permissions Weakness | Process Doppelgänging | ||||||
| Setuid and Setgid | Process Hollowing | ||||||
| Shortcut Modification | Process Injection | ||||||
| SIP and Trust Provider Hijacking | Redundant Access | ||||||
| Startup Items | Regsvcs/Regasm | ||||||
| System Firmware | Regsvr32 | ||||||
| Systemd Service | Rootkit | ||||||
| Time Providers | Rundll32 | ||||||
| Trap | Scripting | ||||||
| Valid Accounts | Signed Binary Proxy Execution | ||||||
| Web Shell | Signed Script Proxy Execution | ||||||
| Windows Management Instrumentation Event Subscription | SIP and Trust Provider Hijacking | ||||||
| Winlogon Helper DLL | Software Packing | ||||||
| Space after Filename | |||||||
| Template Injection | |||||||
| Timestomp | |||||||
| Trusted Developer Utilities | |||||||
| Valid Accounts | |||||||
| Virtualization/Sandbox Evasion | |||||||
| Web Service | |||||||
| XSL Script Processing | |||||||