Hola de nuevo chicos!
Después de publicar mi
artículo sobre RAT basado en IM de Telegram , recibí algunos mensajes con un punto en común: ¿qué evidencias adicionales se pueden encontrar si una estación de trabajo se infecta con RAT basada en IM de Telegram?
Ok, pensé, continuemos esta investigación, además el tema había atraído tanto interés.
La RAT basada en Telegram deja algunos rastros en la RAM y podríamos encontrarla durante el análisis.
Pero en la mayoría de los casos, un investigador no puede analizar la RAM en modo de tiempo real. ¿Cómo podemos obtener un volcado de RAM tan rápido como podamos? Por ejemplo, puede usar Belkasoft Live RAM Capturer. Es una herramienta completamente gratuita y funciona muy rápido sin grandes esfuerzos administrativos.
Una vez finalizado el proceso, simplemente abra el archivo de volcado en cualquiera de los visores Hex (en este ejemplo utilicé FTK Imager, pero podría elegir una herramienta más liviana). Haga una búsqueda de la cadena
telegram.org : si una aplicación nativa de Telegram no está utilizando en la estación de trabajo infectada, es una "señal de alerta" de la presencia del proceso Telegram RAT.
Ok, hagamos otra búsqueda de la cadena
"telepot" . Telepot es un
módulo basado en Python para utilizar la API de Telegram Bot. Este es un módulo usado en su mayoría común en Telegram RAT.
Entonces, ya ves, no es un gran problema, especialmente cuando sabes qué herramienta es más apropiada para una tarea.
En Rusia, toda la zona de dominio
* .telegram.org está restringida por Roskomnadzor y Telegram a menudo usa un proxy o VPN para conectarse al lado del servidor. Pero aún podemos detectar solicitudes de DNS desde la estación de trabajo de interés para
* .telegram.org , una "bandera roja" más para nosotros.
Aquí está la muestra de tráfico que he tomado con Wireshark:
Y lo último, pero no menos importante: las trazas de Telegram RAT en el sistema de archivos (NTFS aquí). Como mencioné en la
primera parte de mi artículo , la mejor manera de implementar Telegram RAT basado en Python usando solo un archivo es compilar todos los archivos con
pyinstaller .
Después de ejecutar el archivo .exe, se extrajeron muchos archivos de Python (módulos, bibliotecas, etc.) y podemos encontrar estas actividades en
$ MFTSí, hay una herramienta gratuita y liviana para extraer $ MFT (y otras cosas forenses) en un sistema LIVE. Te estoy contando sobre la herramienta
forecopy_handy . No es una herramienta nueva y nueva, pero sigue siendo útil para algunos forenses informáticos.
Bueno, podemos extraer $ MFT y, como puede ver, también obtenemos un registro del sistema, registros de eventos, captación previa, etc.
Ahora, encontremos algunos rastros que estamos buscando. Analizamos $ MFT con
MFTEcmd
Y aquí está la actividad típica del sistema de archivos para Telegram RAT: muchos archivos
.pyd y bibliotecas de Python:
Creo que debería ser suficiente para detectar RAT basado en Telegram ahora, chicos :)