Tahukah Anda bahwa Telegram IM menjadi semakin populer sebagai alat bantu untuk melakukan tindakan ilegal?
Ada banyak saluran dan bot tersembunyi dengan konten ilegal dan pembajakan yang berbeda. Saya dapat menyarankan Anda sebuah
artikel di mana beberapa poin ini dijelaskan secara mendalam.
Tetapi tujuan saya adalah menggunakan Telegram sebagai
Remote Access Toolkit (RAT) .
Saya melihat bidang yang berpotensi besar bagi penyerang dalam setidaknya 2 alasan:
- Telegram adalah produk yang sepenuhnya legal dan agennya tidak terlihat mencurigakan untuk perangkat lunak antivirus
- Ada banyak informasi tentang "Cara Menggunakan Telegram sebagai RAT" dengan instruksi terperinci di Youtube dan sumber daya Internet lainnya
Jadi, siapa pun dapat mengunduhnya dari Github atau tempat lain dan mencoba menggunakan IM sebagai RAT
Dan berikut ini beberapa manual video:
Ok, sekarang Anda tahu - tidak terlalu sulit untuk mengunduh RAT berbasis Telegram dan memahami cara menggunakannya. Apalagi - hampir semua proyek ini menggunakan kode
Python . Jadi, siapa pun dapat mengkompilasi kode python ke
.exe menggunakan alat seperti pyinstaller atau semacam ini.
Pada akhirnya Anda akan mendapatkan -
BOOM! - alat RAT yang dapat dieksekusi, yang tidak terdeteksi untuk antivirus!
Keren heh?
Berikut adalah beberapa kemampuan
mvrozanti / RAT-via-Telegram misalnya:
arp - display arp table capture_pc - screenshot PC cmd_exec - execute shell command cp - copy files cd - change current directory delete - delete a file/folder download - download file from target decode_all - decode ALL encoded local files dns - display DNS Cache encode_all - encode ALL local files freeze_keyboard - enable keyboard freeze unfreeze_keyboard - disable keyboard freeze get_chrome - Get Google Chrome's login/passwords hear - record microphone ip_info - via ipinfo.io keylogs - get keylogs ls - list contents of current or specified directory msg_box - display message box with text mv - move files pc_info - PC information ping - makes sure target is up play - plays a youtube video proxy - opens a proxy server pwd - show current directory python_exec - interpret python reboot - reboot computer run - run a file schedule - schedule a command to run at specific time self_destruct - destroy all traces shutdown - shutdown computer tasklist - display services and processes running to - select targets by it's name update - update executable wallpaper - change wallpaper
Seorang penyerang dapat
mengkustomisasi RAT (mengubah ikon, menambahkan sertifikat, dll.), Lalu mengkompilasi dan mengirimkannya sebagai lampiran email phising. Apa selanjutnya Apa saja!
Cari file (bahkan pada drive jaringan), jalankan aplikasi dan skrip, unggah dan unduh dokumen, terima keylog, bla-bla -
apa saja!Tentu saja - penyerang perlu workstation yang terinfeksi memiliki akses Internet. Tapi saya pikir itu bukan masalah besar karena beberapa alasan.
Ok, pertanyaan utamanya adalah Bagaimana Mendeteksi RAT Telegram yang telah digunakan atau sedang digunakan saat ini di workstation?
1. Malwares modern sebagian besar dibuat untuk eksploitasi infrastruktur TI jangka panjang. Jadi, cobalah mencari titik persistensi. Cara umum adalah memeriksa kunci autorun:
Pada tangkapan layar ini Anda melihat aplikasi dengan ikon Adobe tetapi memiliki nama dan lokasi yang tidak standar - periksa di
Virustotal atau layanan terkait jika Anda menemukan yang seperti ini.
Ngomong-ngomong - ini adalah hasil dari pengecekan file eksekutif RAT berbasis Telegram. Seperti yang Anda lihat, hanya sebagian kecil dari mesin yang mendeteksi hal itu mencurigakan.
2. Karena sesuatu yang aneh ditemukan di autorun, langkah nyata berikutnya adalah memeriksa daftar proses. Nah, di sini kami menemukan proses mirip-Adobe ini dengan sesi jaringan aktif:
Oke, mari kita periksa alamat IP ini ... Dan -
BOOM! - itu adalah
IP Telegram
3. Bagaimana cara mengetahui perilaku proses ini? Coba gunakan
Monitor Proses !
Untuk mendapatkan tampilan yang lebih nyaman, jangan lupa gunakan filter berdasarkan proses & operasi sistem file:
Anda dapat melihat banyak operasi berbeda pada file dan folder dan beberapa nama file memberi kami informasi penting tentang fungsi proses (win32clipboard.pyd).
Selain itu, kami memperhatikan proses aktif membuat sejumlah file python sementara - kami dapat menggunakan pengetahuan ini lebih lanjut, selama proses penyelidikan.
4. Misalnya, dua cara untuk memahami tanggal kapan RAT dimulai pertama kali:
- Periksa statistik penggunaan jaringan proses dari SRUM menggunakan NetworkUsageView
Ok, sekarang Anda memiliki tanggal yang tepat dan dapat melanjutkan penyelidikan untuk memahami dari mana file ini berasal: periksa riwayat browser, periksa apakah lampiran email dibuka dan dieksekusi pada periode ini, dll.
Sekali lagi terima kasih atas perhatiannya! Saya akan segera kembali dengan barang bagus baru!