Wussten Sie, dass Telegram IM als Toolkit für illegale Aktionen immer beliebter wird?
Es gibt viele versteckte Kanäle und Bots mit unterschiedlichen illegalen und Piraterie-Inhalten. Ich kann Ihnen einen
Artikel vorschlagen, in dem einige dieser Punkte ausführlich beschrieben werden.
Mein Interesse gilt jedoch der Verwendung von Telegramm als
Remote Access Toolkit (RAT) .
Ich sehe hier aus mindestens zwei Gründen ein potenziell großes Feld für Angreifer:
- Telegramm ist ein völlig legales Produkt und sein Agent sieht für Antivirensoftware nicht verdächtig aus
- Es gibt viele Informationen zu "Verwendung von Telegramm als RAT" mit detaillierten Anweisungen auf Youtube und anderen Internetquellen
Jeder kann es also von Github oder woanders herunterladen und versuchen, IM als RAT zu verwenden
Und hier sind einige Video-Handbücher:
Ok, jetzt sehen Sie - es ist nicht so schwer, telegrammbasierte RAT herunterzuladen und zu verstehen, wie man sie verwendet. Darüber hinaus verwenden fast alle dieser Projekte einen
Python- Code. So kann jeder mit Tools wie pyinstaller oder ähnlichem einen Python-Code zu
.exe kompilieren.
Am Ende bekommst du -
BOOM! - ein ausführbares RAT-Tool, das für Antivirenprogramme nicht nachweisbar ist!
Cool heh?
Hier sind einige Funktionen von
mvrozanti / RAT-via-Telegram zum Beispiel:
arp - display arp table capture_pc - screenshot PC cmd_exec - execute shell command cp - copy files cd - change current directory delete - delete a file/folder download - download file from target decode_all - decode ALL encoded local files dns - display DNS Cache encode_all - encode ALL local files freeze_keyboard - enable keyboard freeze unfreeze_keyboard - disable keyboard freeze get_chrome - Get Google Chrome's login/passwords hear - record microphone ip_info - via ipinfo.io keylogs - get keylogs ls - list contents of current or specified directory msg_box - display message box with text mv - move files pc_info - PC information ping - makes sure target is up play - plays a youtube video proxy - opens a proxy server pwd - show current directory python_exec - interpret python reboot - reboot computer run - run a file schedule - schedule a command to run at specific time self_destruct - destroy all traces shutdown - shutdown computer tasklist - display services and processes running to - select targets by it's name update - update executable wallpaper - change wallpaper
Ein Angreifer kann die RAT
anpassen (ein Symbol ändern, ein Zertifikat hinzufügen usw.), sie dann kompilieren und als Phishing-E-Mail-Anhang senden. Was kommt als nächstes? Alles!
Suchen Sie nach Dateien (auch auf Netzlaufwerken), führen Sie Apps und Skripte aus, laden Sie Dokumente hoch und laden Sie sie herunter, erhalten Sie Keylogs, bla-bla -
alles!Natürlich - ein Angreifer benötigt die infizierte Workstation, um über einen Internetzugang zu verfügen. Aber ich denke, es ist aus bestimmten Gründen keine große Sache.
Ok, die Hauptfrage ist, wie man ein Telegramm erkennt. RAT wurde verwendet oder wird gerade auf der Workstation verwendet.
1. Moderne Malware, die hauptsächlich für die langfristige Nutzung der IT-Infrastruktur entwickelt wurde. Versuchen Sie also, Ausdauerpunkte zu finden. Am häufigsten überprüfen Sie die Autorun-Tasten:
Auf diesem Screenshot sehen Sie eine Anwendung mit einem Adobe-Symbol, die jedoch einen nicht standardmäßigen Namen und Speicherort hat. Überprüfen Sie diese auf
Virustotal oder einem verwandten Dienst, wenn Sie eine solche gefunden haben.
Übrigens - dies ist das Ergebnis der Überprüfung der telegrammbasierten RAT-Exekutivdatei. Wie Sie sehen, hat nur ein kleiner Teil der Motoren dies als verdächtig erkannt.
2. Da im Autorun etwas Seltsames gefunden wurde, besteht der nächste offensichtliche Schritt darin, die Prozessliste zu überprüfen. Nun, hier haben wir diesen Adobe-ähnlichen Prozess mit aktiver Netzwerksitzung gefunden:
Ok, lass uns diese IP-Adresse überprüfen ... Und -
BOOM! - Es ist eine
Telegramm-IP
3. Wie kann man das Verhalten dieses Prozesses herausfinden? Versuchen Sie,
Process Monitor zu verwenden !
Vergessen Sie nicht, Filter nach Prozess- und Dateisystemoperationen zu verwenden, um eine komfortablere Ansicht zu erhalten:
Sie können viele verschiedene Vorgänge für Dateien und Ordner sehen und einige Dateinamen geben uns wichtige Informationen über die Prozessfunktionen (win32clipboard.pyd).
Darüber hinaus haben wir festgestellt, dass der aktive Prozess eine Reihe von temporären Python-Dateien erstellt. Dieses Wissen können wir während des Untersuchungsprozesses weiter nutzen.
4. Zum Beispiel zwei Möglichkeiten, um zu verstehen, an welchem Datum RAT zum ersten Mal gestartet wurde:
- Überprüfen Sie die Netzwerknutzungsstatistiken der Prozesse von SRUM mithilfe von NetworkUsageView
Ok, jetzt haben Sie das genaue Datum und können Ihre Untersuchung fortsetzen, um zu verstehen, woher diese Datei stammt: Überprüfen Sie den Verlauf eines Browsers, prüfen Sie, ob die E-Mail-Anhänge in diesem Zeitraum geöffnet und ausgeführt wurden usw.
Nochmals vielen Dank für die Aufmerksamkeit! Ich werde bald mit einem neuen guten Zeug zurück sein!