MysterySnail RAT

Von CagedTech in Remote Administration Tools

Übersetzen Sie in:

Die MysterySnail RAT ist eine Bedrohung, die nach Erkenntnissen von infosec-Forschern mit der chinesischen APT-Gruppe (Advanced Persistent Threat) IronHusky in Verbindung steht. Die Bedrohung wird als Remote-Shell-Trojaner beschrieben und ist mit 8,29 MB ungewöhnlich groß. Es gibt mehrere Gründe für die abnormale Größe. Zuerst wird die MysterySnail RAT statisch mit der OpenSSL-Bibliothek kompiliert und enthält ungenutzten Code aus dieser Bibliothek. Zweitens enthält es zwei große Funktionen, die außer der Verschwendung von Prozessortaktzyklen keinen praktischen Zweck haben.

Der wahrscheinliche Grund für die Aufnahme der großen Teile überflüssigen Codes besteht darin, die Anti-Erkennungs- und Anti-Emulations-Fähigkeiten der Bedrohung zu verbessern. Diese Schlussfolgerung wird auch durch die Einbeziehung verschiedener redundanter Logiken sowie durch mehrere exportierte Funktionen unterstützt, während nur eine die eigentlichen Aufgaben ausführt.

MysterySnail RATs Details

Insgesamt gehört die MysterySnail RAT nicht zu den ausgefeiltesten Bedrohungen dieser Art.Es kompensiert jedoch mit einer erweiterten Liste von Funktionalitäten (die Bedrohung kann insgesamt 20 verschiedene Befehle erkennen), wie etwa das Erkennen von eingelegten Laufwerken oder die Möglichkeit, als Proxy zu fungieren. Nach Erhalt des entsprechenden Befehls von ihrem Command-and-Control-Server (C&C, C2) ist die Bedrohung in der Lage, das Dateisystem des kompromittierten Systems zu manipulieren, indem die ausgewählten Dateien erstellt, gelesen, hochgeladen oder gelöscht werden. Die MysterySnail RAT kann auch Prozesse starten oder beenden. Darüber hinaus kann sie ein Eingabeaufforderungsfenster öffnen, in dem Angreifer beliebige Befehle ausführen können.

Eine der ersten Aktionen von MysterySnail RAT besteht darin, Daten über das beschädigte System zu sammeln. Die Malware sammelt Details wie den Computernamen, den Windows-Produktnamen, die IP-Adresse, den Benutzernamen und mehr. Alle gesammelten Informationen werden dann auf den C2-Server hochgeladen. Was die Adresse des Servers betrifft, so enthielten die analysierten Bedrohungsproben zwei fest codierte URLs, die im Klartext gespeichert waren und als Köder fungierten. Die echte URL wird durch ein einzelnes Byte xor dekodiert, das die 'http[.]ddspadus[.]com'-Adresse liefert.

Suche

Region ändern

MysterySnail RAT

MysterySnail RATs Details

Kommentar abgeben

Im Trend

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...