M
Mr.Dante
Гость
Telegram – может ли мессенджер управлять вредоносами?
Привет, дорогие друзья, читатели, посетители, просто люьбопытные и все все все. Листая форум, наткнулся я на интересный вопрос, может ли вредонос управляться с помощью мессенджера, да так, чтобы это было удобно и быстро. И есть ли вообще такое ПО? Ну что, на интересный вопрос мы всегда готовы дать развернутый ответ. Погнали, пошушукаемся, обсудим. И конечно же, все это СТРОГО В ОБРАЗОВАТЕЛЬНЫХ целях!
Для затравки
Те, кто следят за новостями в сфере IT и особенно в направлении безопасности, наверняка натыкались на новости, в которых указывалось, что хакеры научились использовать API «телеги» в своих нуждах. Ранее часто использовалось такое ПО, как Impacket и Mimikatz. В качестве ПО для тунелирования трафика за основу брали Chise, dnscat2, Gost. Сейчас чаще используют новые бэкдоры, которые базируют свой функционал на выгрузке данных через API телеги.
TgRAT – дроппер
Очень интересная зараза для любителей хулиганить в сети. На стартовом этапе РАТник проверяет все параметры, с которыми он был запущен. Это напрямую связано с промежуточным персистом. Если входные данные удовлетворяют требованиям, далее начинается этап add_payload. Если «аргументов» нет, производится инициализация и закрепление. Далее дроппер работает по следующей схеме:
Теперь приходит время бэкдора. Так как файл удаленного управления дроппер уже передал, это самое выгодное время. Этот небольшой РАТ использует телегу как сервер. Точнее закрытую группу в телеге. Для начала бэкдор проверяет имя узла, на котором он стартовал. Он сравнивает его с эталоном, который вшит в сам код ПО. Если имя не идентично, бэкдор заканчивает работу. Что это означает? Это означает, что бэкдор нацелен сторого на опеределенные, заранее обозначенные ПК.
Токен и ID чата для коммуникации могут быть считаны из файла с именем token.sys, который должен лежать в каталоге с вредоносом. В случае если файла нет, ВПО использует те токен и ID, которые содержатся в коде.
После этих операций ПО получает аргументы (если это требуется) и список имен команд. Далее вредонос создает структуру данных определенного вида идентичную MAP.
Кроме паролей здесь также хранятся указания на команды. Вернее, на функции, которые связанны с командами. Эта самая структура применяется для мапинга. В чате группы телеги стартует команда, вредонос сверяет ее со структурой, затем получает адрес фукции обработчика, а после этого производит ее вызов.
А теперь о функциях вредоноса.
Функционал
Погнали смотреть, что данная зараза могЁт:
Post Scriptum
Как мы можем видеть, вредоносы, как и ПО, которое противодействует им, постоянно совершенствуется. Его дополняют, учат работать с другим ПО, дополняют функциональность. Но, если предпринимать хотя бы первичные действия для своей безопасности в сети, можно минимизировать вероятность заражения своей машины. А в этом вам поможет «Ру-Сфера».
С вами был рупор сетевой безопасности «Ру-Сфера»! будем благодарны за ваш комментарий, вопрос, лайк, подписку и просто за ваше внимание, ведь именно для вас и существует наш ресурс. Не стоит забывать, что у нас есть:
Post post Scriptum
У нас открылась рубрика геймхакинга, которая доступна по ссылке GameHacking. Наш коллега и ведущий специалист, товарищ @Supra может научить вас многому нагибаторскому в мире игр. Маст хэв для геймеров.
А для тех, кто только знакомится с миром виртуальных угроз будут интересны образовательные статьи по DDoS Информация - DDoS – массовое оружие точечного поражения (часть первая) - первая часть. И вторая часть - Информация - DDoS – массовое оружие точечного поражения (часть вторая). Тёмная сторона силы шикарно написанная нашим коллегой, товарищем и шефом по безопасности, мистером @X-Shar . Всем приятного чтения!
Привет, дорогие друзья, читатели, посетители, просто люьбопытные и все все все. Листая форум, наткнулся я на интересный вопрос, может ли вредонос управляться с помощью мессенджера, да так, чтобы это было удобно и быстро. И есть ли вообще такое ПО? Ну что, на интересный вопрос мы всегда готовы дать развернутый ответ. Погнали, пошушукаемся, обсудим. И конечно же, все это СТРОГО В ОБРАЗОВАТЕЛЬНЫХ целях!
Для затравки
Те, кто следят за новостями в сфере IT и особенно в направлении безопасности, наверняка натыкались на новости, в которых указывалось, что хакеры научились использовать API «телеги» в своих нуждах. Ранее часто использовалось такое ПО, как Impacket и Mimikatz. В качестве ПО для тунелирования трафика за основу брали Chise, dnscat2, Gost. Сейчас чаще используют новые бэкдоры, которые базируют свой функционал на выгрузке данных через API телеги.
TgRAT – дроппер
Очень интересная зараза для любителей хулиганить в сети. На стартовом этапе РАТник проверяет все параметры, с которыми он был запущен. Это напрямую связано с промежуточным персистом. Если входные данные удовлетворяют требованиям, далее начинается этап add_payload. Если «аргументов» нет, производится инициализация и закрепление. Далее дроппер работает по следующей схеме:
- TgRAT ставит себя в автозагрузку, причем прописывает сам же себе параметр "-install=false".
- Создает файл с индивидуальным именем под полезную нагрузку. Для начала зараза парсит путь и имя текущего процесса, затем производит подмену на путь к файл с полезной нагрузкой.
- Затем РАТник занимается расшифровкой бинарных данных, которые базируются в теле программы. Делает он это с помощью AES в режиме CTR (вектор инициализации вшит в тело программы).
- Расшифрованный файлы складываются в файл. А управление им передаются полезной нагрузке. И это еще не все.
Теперь приходит время бэкдора. Так как файл удаленного управления дроппер уже передал, это самое выгодное время. Этот небольшой РАТ использует телегу как сервер. Точнее закрытую группу в телеге. Для начала бэкдор проверяет имя узла, на котором он стартовал. Он сравнивает его с эталоном, который вшит в сам код ПО. Если имя не идентично, бэкдор заканчивает работу. Что это означает? Это означает, что бэкдор нацелен сторого на опеределенные, заранее обозначенные ПК.
Токен и ID чата для коммуникации могут быть считаны из файла с именем token.sys, который должен лежать в каталоге с вредоносом. В случае если файла нет, ВПО использует те токен и ID, которые содержатся в коде.
После этих операций ПО получает аргументы (если это требуется) и список имен команд. Далее вредонос создает структуру данных определенного вида идентичную MAP.
Кроме паролей здесь также хранятся указания на команды. Вернее, на функции, которые связанны с командами. Эта самая структура применяется для мапинга. В чате группы телеги стартует команда, вредонос сверяет ее со структурой, затем получает адрес фукции обработчика, а после этого производит ее вызов.
А теперь о функциях вредоноса.
Функционал
Погнали смотреть, что данная зараза могЁт:
- Вся информация о зараженной машине. На изображении вы можете увидеть, что именно собирается.
- подключение (bind) к определенной группе в Telegram, служебное сообщение об ошибке подключения;
- самозавершение (kill <PID>);
- сохранение сообщения в виде файла;
- самообновление;
- запуск шелла;
- выполнение команды в шелле и сохранение результата в виде файла;
- запуск процесса;
- сон в течение определенного времени;
- перезапуск бота;
- скачивание файла;
- снимок экрана.
Post Scriptum
Как мы можем видеть, вредоносы, как и ПО, которое противодействует им, постоянно совершенствуется. Его дополняют, учат работать с другим ПО, дополняют функциональность. Но, если предпринимать хотя бы первичные действия для своей безопасности в сети, можно минимизировать вероятность заражения своей машины. А в этом вам поможет «Ру-Сфера».
С вами был рупор сетевой безопасности «Ру-Сфера»! будем благодарны за ваш комментарий, вопрос, лайк, подписку и просто за ваше внимание, ведь именно для вас и существует наш ресурс. Не стоит забывать, что у нас есть:
- Дзен: https://dzen.ru/rusfera;
- ВК: Ру-Сфера: Исследование защиты. | VK;
- Telegram: Ru-Sfera channel;
- Портал: Ру-Сфера: Исследование защиты и обсуждение IT-безопасности.
Post post Scriptum
У нас открылась рубрика геймхакинга, которая доступна по ссылке GameHacking. Наш коллега и ведущий специалист, товарищ @Supra может научить вас многому нагибаторскому в мире игр. Маст хэв для геймеров.
А для тех, кто только знакомится с миром виртуальных угроз будут интересны образовательные статьи по DDoS Информация - DDoS – массовое оружие точечного поражения (часть первая) - первая часть. И вторая часть - Информация - DDoS – массовое оружие точечного поражения (часть вторая). Тёмная сторона силы шикарно написанная нашим коллегой, товарищем и шефом по безопасности, мистером @X-Shar . Всем приятного чтения!
