CRAT

CRAT ist ein leistungsstarker RAT (Remote Access Trojan), der mit den Aktivitäten einer Advanced Persistent Threat namens Lazarus Group verknüpft wurde. Im Rahmen von Angriffskampagnen wurden zwei verschiedene Versionen der Bedrohung beobachtet, die deutlich zeigen, dass CRAT entwickelt und aktiv weiterentwickelt wird. Die neueste Variante hat einen modulareren Ansatz gewählt, bei dem verschiedene RAT-Funktionen verschoben wurden, um beschädigte Module zu trennen, anstatt alle in einer einzigen Nutzlast zusammenzufassen. Darüber hinaus wurde das Angebot an Backdoor-Funktionen von CRAT um auswählbare Malware-Plugins erweitert, die für Screenshots, Keylogging und Überwachung der Zwischenablage verantwortlich sind. Noch wichtiger ist, dass CRAT ein Ransomware-Modul bereitstellen kann, das die Hansom-Bedrohung auf dem gefährdeten Computer darstellt. Die Hacker können die Ransomware verwenden, um das Opfer nach Geldern zu erpressen, nachdem sie bereits alle gewünschten Daten herausgefiltert haben, oder um das Endpunktsystem stark zu stören.

Mehrere Verschleierungstechniken behindern die Erkennung von CRAT

Der wichtigste Aspekt jeder RAT-Bedrohung ist ihre Fähigkeit, die Zielsysteme zu infiltrieren, und CRAT verfügt über mehrere Gegenmaßnahmen gegen Erkennung und Analyse. Erstens haben sich die Hacker von der üblichen Praxis entfernt, einen Packer zu verwenden, der durch Techniken wie Entropieanalyse, Import-API-Analysen usw. erkannt werden kann, und stattdessen die selektive Verschleierung des Malware-Codes übernommen. Insbesondere verschleiert CRAT seine Zeichenfolgen mithilfe eines 4-Byte-XOR-Schlüssels, gefolgt von einer Base64-Codierung. Es verwendet auch dynamische API-Auflösung und Laufzeitcode-Patches. Die Namen der DLLs der RAT sollen die der Bibliothek einer unschuldigen Anwendung imitieren.

CRAT führt außerdem eine Reihe von Überprüfungen durch, um sicherzustellen, dass die Bedrohung auf dem gewünschten Endpunkt und nicht in einer Analyseumgebung ausgeführt wird. Es vergleicht die Namen von MAC-Adressen, Prozessen, Netzwerkadaptern und Analysetools mit einer fest codierten Blockliste und beendet die Ausführung, sobald eine Übereinstimmung festgestellt wird. CRAT führt eine Überprüfung auf Debugging-Versuche durch, auch über CheckRemoteDebuggerPresent.

Mit modularen Plugins erweiterte Baseline-RAT-Funktionen

Nach erfolgreicher Infiltration kann CRAT eine beeindruckende Reihe von Backdoor-Funktionen initiieren, die nur in der neueren Version erweitert wurden. Bevor die RAT jedoch zu handeln beginnt, wartet sie darauf, den entsprechenden Befehl von der Command-and-Control-Infrastruktur (C2, C & C) in Form einer JSON-Kommunikation über HTTP zu erhalten. Durch die Einführung einer modularen Architektur können die Hacker ihre Aktivitäten weiter an ihre Bedrohungsziele anpassen, indem sie nur ausgewählte Malware-Plugins herunterladen und in bestimmte Prozesse einfügen, die auf dem gefährdeten Endpunkt ausgeführt werden.

CRAT kann verschiedene Systeminformationen wie MAC-Adresse, installierte Firewall- und Antivirenprodukte, Domänennamen sammeln, nach Administratorrechten suchen, Größeninformationen für alle Dateien und Ordner mit Ausnahme von % windir% und dem Papierkorb erfassen, lesen, schreiben und Dateiinhalt exfiltrieren. Die Angreifer können Remote-Befehle ausführen und eine Reverse-Command-Shell einrichten. CRAT verletzt Benutzeranmeldeinformationen wie Benutzernamen und Kennwörter, die in Google Chrome gespeichert sind. Die Bedrohung wird mit einem angepassten Submodul für den Datei-Explorer geliefert.

Die größte Änderung im Vergleich zu den älteren Versionen ist jedoch die Fähigkeit von CRAT, beschädigte Plugins gemäß den Anweisungen des C2 herunterzuladen und zu installieren. Das eigentümlichste ist das Ransomware-Plugin mit der Hansom-Bedrohung. Normalerweise verschlüsselt Ransomware die Dateien auf dem infizierten System mit einem nicht knackbaren Algorithmus, aber Hansom verfolgt einen anderen Ansatz. Bei der Initiierung wird jede Datei in einzelne Archive gesperrt, denen dann jeweils ein anderes zufällig generiertes Kennwort zugewiesen wird. Die Passwörter werden anschließend mit einem eingebetteten öffentlichen Schlüssel verschlüsselt. Hansom kann insgesamt 110 verschiedene Dateitypen betreffen. Vor dem Starten des Verschlüsselungsprozesses werden verschiedene Verfahren zum Deaktivieren von Windows Defender-Benachrichtigungen durchlaufen, insbesondere der Windows Defender-Prozess 'MsMpEng.exe', der Task-Manager deaktiviert und ein Persistenzmechanismus über die Registrierung und regsvr32 initiiert.