Halo lagi, teman-teman!
Setelah saya menerbitkan
artikel saya
tentang RAT IM berbasis Telegram , saya menerima beberapa pesan dengan satu poin umum - bukti tambahan apa yang dapat ditemukan jika workstation terinfeksi dengan RAT berbasis IM Telegram?
Ok, saya pikir, mari kita lanjutkan penyelidikan ini, apalagi temanya telah menarik minat seperti itu.
RAT berbasis Telegram meninggalkan beberapa jejak dalam RAM dan kami dapat menemukannya selama analisis.
Tetapi dalam kebanyakan kasus, penyelidik tidak dapat menganalisis RAM dalam mode waktu-nyata. Bagaimana kita bisa mendapatkan dump RAM secepat yang kita bisa? Misalnya Anda dapat menggunakan Belkasoft Live RAM Capturer. Ini benar-benar alat gratis dan bekerja sangat cepat tanpa upaya administrasi yang sulit.
Setelah proses selesai hanya buka file dump di salah satu Hex viewers (dalam contoh ini saya menggunakan FTK Imager, tetapi Anda bisa memilih alat yang lebih ringan). Lakukan pencarian untuk
telegram.org string - jika aplikasi Telegram asli tidak menggunakan pada workstation yang terinfeksi, itu adalah "bendera merah" dari kehadiran proses RAT Telegram.
Oke, mari kita lakukan pencarian lain untuk string
"telepot" . Telepot adalah
modul berbasis Python untuk menggunakan API Telegram Bot. Ini adalah modul yang paling sering digunakan dalam RAT Telegram.
Jadi, sekarang Anda tahu - itu bukan masalah besar, terutama ketika Anda tahu alat apa yang lebih tepat untuk suatu tugas.
Di Rusia seluruh zona domain
* .telegram.org dibatasi oleh Roskomnadzor dan Telegram sering menggunakan proxy atau VPN untuk terhubung ke sisi server. Tetapi kami masih dapat mendeteksi permintaan DNS dari workstation yang menarik ke
* .telegram.org - satu lagi "bendera merah" bagi kami.
Berikut adalah contoh lalu lintas yang saya ambil dengan Wireshark:
Dan yang terakhir tapi tidak kalah pentingnya - Telegram RAT melacak pada sistem file (NTFS di sini). Seperti yang saya sebutkan di bagian
1 artikel saya , cara terbaik untuk menggunakan RAT Telegram berbasis Python hanya menggunakan satu file adalah dengan mengkompilasi semua file dengan
pyinstaller .
Setelah file .exe dieksekusi, banyak file Python (modul, pustaka dll) diekstraksi dan kita dapat menemukan kegiatan ini dalam
$ MFTYa, ada alat gratis dan ringan untuk mengekstraksi $ MFT (dan hal-hal yang terdengar forensik lainnya) pada sistem LIVE. Saya memberi tahu Anda tentang alat
forecopy_handy . Ini bukan alat baru-baru, tetapi masih berguna untuk beberapa komputer forensik.
Yah, kita dapat mengekstrak $ MFT dan, seperti yang Anda lihat, kami juga mendapatkan sistem registry, event log, prefetch dll
Sekarang, mari kita temukan beberapa jejak yang kita cari. Kami melakukan parse $ MFT dengan
MFTEcmd
Dan di sini adalah aktivitas filesystem khas untuk Telegram RAT - banyak file
.pyd dan pustaka Python:
Saya pikir itu sudah cukup untuk mendeteksi RAT berbasis Telegram sekarang, teman-teman :)