Bonjour à nouveau, les gars!
Après avoir publié mon
article sur le RAT Telegram IM , j'ai reçu quelques messages avec un point commun - quelles preuves supplémentaires peuvent être trouvées si un poste de travail est infecté par le RAT Telegram IM?
Ok, je pensais, continuons cette enquête, d'ailleurs le thème avait suscité un tel intérêt.
Le RAT basé sur les télégrammes laisse des traces dans la RAM et nous avons pu le trouver lors de l'analyse.
Mais dans la plupart des cas, un enquêteur ne peut pas analyser la RAM en mode temps réel. Comment pouvons-nous obtenir un vidage de la RAM aussi rapidement que possible? Par exemple, vous pouvez utiliser Belkasoft Live RAM Capturer. C'est un outil entièrement gratuit et fonctionne très rapidement sans efforts administratifs.
Une fois le processus terminé, ouvrez simplement le fichier de vidage dans l'un des visualiseurs Hex (dans cet exemple, j'ai utilisé FTK Imager, mais vous pouvez choisir un outil plus léger). Recherchez une chaîne
telegram.org - si une application Telegram native n'utilise pas sur le poste de travail infecté, c'est un "drapeau rouge" de la présence du processus Telegram RAT.
Ok, faisons une autre recherche pour la chaîne
"telepot" . Telepot est un
module basé sur Python pour l'API Telegram Bot utilisant. Il s'agit d'un module utilisé le plus souvent dans les télégrammes RAT.
Donc, maintenant vous voyez - ce n'est pas un gros problème, surtout quand vous savez quel outil est le plus approprié pour une tâche.
En Russie, toute la zone de domaine
* .telegram.org est restreinte par Roskomnadzor et Telegram utilise souvent un proxy ou un VPN pour se connecter à un serveur. Mais nous pouvons toujours détecter les requêtes DNS du poste de travail concerné vers
* .telegram.org - un autre "drapeau rouge" pour nous.
Voici l'exemple de trafic que j'ai pris avec Wireshark:
Et le dernier mais non le moindre - Telegram RAT trace sur le système de fichiers (NTFS ici). Comme je l'ai mentionné dans la
première partie de mon article , la meilleure façon de déployer Telegram RAT basé sur Python en utilisant un seul fichier est de compiler tous les fichiers avec
pyinstaller .
Après l'exécution du fichier .exe, de nombreux fichiers Python (modules, bibliothèques, etc.) ont été extraits et nous pouvons trouver ces activités dans
$ MFTOui, il existe un outil gratuit et léger pour extraire $ MFT (et d'autres choses légalement saines) sur un système LIVE. Je vous parle de l'outil
forstopy_handy . Ce n'est pas un outil nouveau-nouveau, mais toujours utile pour certaines analyses informatiques.
Eh bien, nous pouvons extraire $ MFT et, comme vous le voyez, nous obtenons également un registre système, des journaux d'événements, une prélecture, etc.
Maintenant, trouvons quelques traces que nous recherchons. Nous
analysons $ MFT avec
MFTEcmd
Et voici l'activité typique du système de fichiers pour Telegram RAT - beaucoup de fichiers
.pyd et de bibliothèques Python:
Je pense que cela devrait être suffisant pour détecter le RAT basé sur Telegram maintenant, les gars :)