مرحبا مرة أخرى ، يا شباب!
بعد نشر مقالي
حول RAT المستندة إلى IM Telegram ، تلقيت بعض الرسائل بنقطة واحدة مشتركة - ما هي الأدلة الإضافية التي يمكن العثور عليها إذا كانت محطة عمل مصابة بـ RAT المستندة إلى IM Telegram؟
حسناً ، أعتقد ، دعنا نواصل هذا التحقيق ، علاوة على ذلك ، فإن الموضوع قد جذب هذا الاهتمام.
RAT المستندة إلى Telegram يترك بعض آثار في RAM ويمكن أن نجدها أثناء التحليل.
ولكن في معظم الحالات ، لا يمكن للمحقق تحليل RAM في وضع الوقت الحقيقي. كيف يمكننا الحصول على تفريغ ذاكرة الوصول العشوائي بأسرع ما يمكن؟ على سبيل المثال ، يمكنك استخدام Belkasoft Live RAM Capturer. إنها أداة مجانية تمامًا وتعمل بسرعة كبيرة دون بذل جهود إدارية جادة.
بعد الانتهاء من العملية ، افتح ملف التفريغ في أي من برامج Hex (في هذا المثال ، استخدمت FTK Imager ، لكن يمكنك اختيار أداة أكثر وزنًا). قم بالبحث عن سلسلة
telegram.org - إذا كان تطبيق Telegram الأصلي لا يستخدم على محطة العمل المصابة ، فهذا يمثل "علامة حمراء" لوجود عملية Telegram RAT.
حسنًا ، لنقم بالبحث عن سلسلة
"telepot" . Telepot عبارة عن
وحدة نمطية تستند إلى Python لـ Telegram Bot API باستخدام. هذه وحدة نمطية شائعة الاستخدام في RATs Telegram.
لذا ، الآن ترى - إنها ليست مشكلة كبيرة ، لا سيما عندما تعرف الأداة الأكثر مناسبة للمهمة.
في روسيا بأكملها
* .telegram.org يتم تقييد منطقة النطاق بواسطة Roskomnadzor وغالبًا ما تستخدم Telegram وكيلًا أو VPN للاتصال بجانب الخادم. ولكن لا يزال بإمكاننا اكتشاف طلبات DNS من محطة العمل التي تهم
* .telegram.org - "علامة حمراء" أخرى لنا.
فيما يلي نموذج المرور الذي أخذته مع Wireshark:
وأخيراً وليس آخراً - تتبع Telegram RAT على نظام الملفات (NTFS هنا). كما ذكرت في
الجزء الأول من مقالتي ، فإن أفضل طريقة لنشر Telegram RAT المستندة إلى Python باستخدام ملف واحد فقط هي تجميع جميع الملفات باستخدام برنامج
pyinstaller .
بعد تنفيذ ملف exe. ، يتم استخراج الكثير من ملفات Python (الوحدات النمطية والمكتبات وغيرها) ويمكننا العثور على هذه الأنشطة في
MFT $نعم ، هناك أداة مجانية وخفيفة الوزن لاستخراج MFT $ (وأشياء أخرى سليمة في الطب الشرعي) على نظام حقيقي. أنا
أخبرك عن أداة
forecopy_handy . إنها ليست أداة جديدة جديدة ، ولكنها لا تزال مفيدة لبعض الأدلة الجنائية للكمبيوتر.
حسنًا ، يمكننا استخراج $ MFT ، وكما ترى ، نحصل أيضًا على سجل النظام ، وسجلات الأحداث ، والإحضار المسبق ، إلخ.
الآن ، دعونا نجد بعض الآثار التي نبحث عنها. نفعل تحليل $ MFT مع
MFTEcmd
وهنا نشاط نظام الملفات النموذجي لـ Telegram RAT - الكثير من ملفات
.pyd ومكتبات Python:
أعتقد أنه يجب أن يكون كافياً للكشف عن RAT المستندة إلى Telegram الآن ، يا شباب :)