HabitsRAT

HabitsRAT ist eine neue Malware-Bedrohung, die in der Programmiersprache Go geschrieben wurde. Es scheint, dass immer mehr Cyberkriminelle beginnen, Go speziell zu verwenden, da mit ihm erstellte Malware für die Erkennung durch Anti-Malware-Produkte schwieriger zu sein scheint. Der Hauptzweck von HabitsRAT besteht, wie der Name schon sagt, darin, als RAT (Remote Access Trojan) zu fungieren, der dem Bedrohungsakteur die Kontrolle über das gefährdete System gibt. Als die Bedrohung ursprünglich von Cybersicherheitsanalysten entdeckt wurde, wurde sie in einer Angriffskampagne für Microsoft Exchange-Server bereitgestellt. Seitdem wurde jedoch neben einer Variante, die Linux-Server infizieren kann, eine neue Windows-Variante veröffentlicht.

Während das Design von HabitsRAT einfach genug erscheint, macht seine Funktionalität die Bedrohung ziemlich effektiv. Die Codestruktur der Windows- und Linux-Versionen überschneidet sich erheblich mit dem systemspezifischen Code, der in den Dateien 'commandplatform_windows.go', 'keyplatform_windows.go' und 'persistencehandler_windows.go' enthalten ist. Bei der Ausführung installiert sich die Binärdatei der Bedrohung in einem Ordner auf dem Laufwerk - ' % SystemDrive% WindowsDefenderMsMpEng.exe ' für Windows und ' $ HOME / .config / polkitd / polkitd ' unter Linux. Die nächste von HabitsRAT durchgeführte Aktion besteht darin, zu überprüfen, ob der Persistenzmechanismus bereits eingerichtet wurde. Wenn nicht, erstellt die Bedrohung unter Windows eine geplante XML-Aufgabe, während unter Linux eine Systemd-Einheitendatei verwendet wird.

Ein Verschlüsselungsschlüssel überprüft HabitsRAT-Befehle

Um sicherzustellen, dass ihr Bedrohungswerkzeug nicht von einer anderen Partei übernommen wird, haben die Cyberkriminellen eine Verschlüsselungsfunktion implementiert. HabitsRAt verwendet öffentliche Kryptografie zum Verschlüsseln sowie zum Authentifizieren der Befehle, die es von den Command-and-Control-Servern (C2, C & C) der Angriffskampagne erhält. Das öffentlich-private Schlüsselpaar wird mithilfe der Open-Source-Bibliothek Proton Mail generiert.

Der Authentifizierungsschlüssel wird auf der Festplatte gespeichert. Die Linux-Version von HabitsRAT schreibt entweder in ' $ HOME / .config / .accounts-daemon / accounts-daemon.login.conf ' oder ' /usr/share/accounts-daemon/accounts-daemon.so ', je nachdem, ob dies der Fall ist als normaler Benutzer signiert oder nicht. Die Windows-Versionen der Bedrohung verwenden stattdessen '% SystemDrive% WindowsDefenderMsMpEng.dll ' oder ' % APPDATA% Windows NTDefenderMsMpEng.dll '.

Wenn kein Befehl empfangen wird, schläft HabitsRAT 10 Sekunden lang selbst und sendet dann eine weitere Anforderung an die C2-Server. Alle eingehenden Mitteilungen müssen vom Bedrohungsakteur mit dem richtigen Schlüssel signiert werden.

Eine neue Windows-Version von HabitsRAT

Cybersecurity-Forscher haben eine neue Version der HabitsRAT-Variante für Windows-Systeme entwickelt. Die HabitsRAT-Version 12 scheint weitgehend die gleiche Funktionalität zu besitzen wie ihr Vorgänger. Der Hauptunterschied besteht darin, dass ein neuer C2-Schlüssel erforderlich ist, während HabitsRAT jetzt mehrere C2-Adressen unterstützt. Insbesondere wurden vier verschiedene Adressen identifiziert, wobei die Bedrohung zufällig eine davon auswählte. Die Liste der Adressen wird in zwei Dateien gespeichert - ' % SystemDrive% WindowsDefenderDefender.dll ' und
' % APPDATA% Windows NTDefenderDefender.dll .'