大家好,大家好!
在发表
有关基于Telegram IM的RAT的文章之后,我收到了一些带有共同点的消息-如果工作站感染了基于Telegram IM的RAT,还能找到哪些其他证据?
好的,我想,让我们继续进行调查,而且这个主题引起了人们的兴趣。
基于电报的RAT在RAM中留下了一些痕迹,我们可以在分析过程中找到它。
但是在大多数情况下,研究人员无法以实时模式分析RAM。 我们如何才能尽快获得RAM转储? 例如,您可以使用Belkasoft Live RAM Capturer。 它是完全免费的工具,并且无需费力的管理即可快速运行。
处理完成后,只需在任何Hex查看器中打开转储文件(在此示例中,我使用了FTK Imager,但是您可以选择一个更轻便的工具)。 搜索
telegram.org字符串-如果未在受感染的工作站上使用本机Telegram应用程序,则这是Telegram RAT进程存在的“红色标志”。
好的,让我们再次搜索
“ telepot”字符串。 Telepot是Telegram Bot API使用
的基于Python的模块 。 这是电报RAT中最常用的模块。
所以,现在您知道了-这没什么大不了的,特别是当您知道哪种工具更适合任务时。
在俄罗斯,整个
* .telegram.org域区域受Roskomnadzor限制,Telegram经常使用代理或VPN连接到服务器端。 但是,我们仍然可以检测到来自感兴趣的工作站对
* .telegram.org的 DNS请求-对我们来说,这是另外一个“
危险信号”。
这是我使用Wireshark采集的流量示例:
最后但并非最不重要的-Telegram RAT跟踪文件系统(此处为NTFS)。 正如我在
文章的
第一部分中提到的,仅使用一个文件部署基于Python的Telegram RAT的最佳方法是使用
pyinstaller编译所有文件。
执行完.exe文件后,提取了许多Python文件(模块,库等),我们可以在
$ MFT中找到此活动。
是的,有一个免费的轻量级工具可以在LIVE系统上提取$ MFT(以及其他取证声音)。 我告诉您有关
forecopy_handy工具的信息。 它不是一个新工具,但对于某些计算机取证工具仍然有用。
好吧,我们可以提取$ MFT,并且如您所见,我们还可以获得系统注册表,事件日志,预取等
现在,让我们找到我们要寻找的痕迹。 我们用
MFTEcmd解析$ MFT
这是Telegram RAT的典型文件系统活动-许多
.pyd文件和Python库:
伙计们,我认为现在检测基于电报的RAT应该足够了:)