• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Информация Telegram – может ли мессенджер управлять вредоносами?

  • Автор темы Mr.Dante
  • Дата начала

M

Mr.Dante

Гость
Telegram – может ли мессенджер управлять вредоносами?
Привет, дорогие друзья, читатели, посетители, просто люьбопытные и все все все. Листая форум, наткнулся я на интересный вопрос, может ли вредонос управляться с помощью мессенджера, да так, чтобы это было удобно и быстро. И есть ли вообще такое ПО? Ну что, на интересный вопрос мы всегда готовы дать развернутый ответ. Погнали, пошушукаемся, обсудим. И конечно же, все это СТРОГО В ОБРАЗОВАТЕЛЬНЫХ целях!
Vaduda_computer_virus_a_virus_crawls_out_of_a_laptop_a_dangerou_3c4e0199-97bc-4dc8-bc79-12ab35...png


Для затравки
Те, кто следят за новостями в сфере IT и особенно в направлении безопасности, наверняка натыкались на новости, в которых указывалось, что хакеры научились использовать API «телеги» в своих нуждах. Ранее часто использовалось такое ПО, как Impacket и Mimikatz. В качестве ПО для тунелирования трафика за основу брали Chise, dnscat2, Gost. Сейчас чаще используют новые бэкдоры, которые базируют свой функционал на выгрузке данных через API телеги.

TgRAT – дроппер
Очень интересная зараза для любителей хулиганить в сети. На стартовом этапе РАТник проверяет все параметры, с которыми он был запущен. Это напрямую связано с промежуточным персистом. Если входные данные удовлетворяют требованиям, далее начинается этап add_payload. Если «аргументов» нет, производится инициализация и закрепление. Далее дроппер работает по следующей схеме:

  • TgRAT ставит себя в автозагрузку, причем прописывает сам же себе параметр "-install=false".
  • 1670939358861.png
  • Создает файл с индивидуальным именем под полезную нагрузку. Для начала зараза парсит путь и имя текущего процесса, затем производит подмену на путь к файл с полезной нагрузкой.
  • Затем РАТник занимается расшифровкой бинарных данных, которые базируются в теле программы. Делает он это с помощью AES в режиме CTR (вектор инициализации вшит в тело программы).
  • Расшифрованный файлы складываются в файл. А управление им передаются полезной нагрузке. И это еще не все.
Бэкдор TgRAT
Теперь приходит время бэкдора. Так как файл удаленного управления дроппер уже передал, это самое выгодное время. Этот небольшой РАТ использует телегу как сервер. Точнее закрытую группу в телеге. Для начала бэкдор проверяет имя узла, на котором он стартовал. Он сравнивает его с эталоном, который вшит в сам код ПО. Если имя не идентично, бэкдор заканчивает работу. Что это означает? Это означает, что бэкдор нацелен сторого на опеределенные, заранее обозначенные ПК.

Токен и ID чата для коммуникации могут быть считаны из файла с именем token.sys, который должен лежать в каталоге с вредоносом. В случае если файла нет, ВПО использует те токен и ID, которые содержатся в коде.

1670939380193.png


После этих операций ПО получает аргументы (если это требуется) и список имен команд. Далее вредонос создает структуру данных определенного вида идентичную MAP.

1670939392410.png


Кроме паролей здесь также хранятся указания на команды. Вернее, на функции, которые связанны с командами. Эта самая структура применяется для мапинга. В чате группы телеги стартует команда, вредонос сверяет ее со структурой, затем получает адрес фукции обработчика, а после этого производит ее вызов.

1670939407524.png


А теперь о функциях вредоноса.

Функционал
Погнали смотреть, что данная зараза могЁт:
  • Вся информация о зараженной машине. На изображении вы можете увидеть, что именно собирается.
  • 1670939424640.png
  • подключение (bind) к определенной группе в Telegram, служебное сообщение об ошибке подключения;
  • самозавершение (kill <PID>);
  • сохранение сообщения в виде файла;
  • самообновление;
  • запуск шелла;
  • выполнение команды в шелле и сохранение результата в виде файла;
  • запуск процесса;
  • сон в течение определенного времени;
  • перезапуск бота;
  • скачивание файла;
  • снимок экрана.
Неплохо, да?

Post Scriptum
Как мы можем видеть, вредоносы, как и ПО, которое противодействует им, постоянно совершенствуется. Его дополняют, учат работать с другим ПО, дополняют функциональность. Но, если предпринимать хотя бы первичные действия для своей безопасности в сети, можно минимизировать вероятность заражения своей машины. А в этом вам поможет «Ру-Сфера».

С вами был рупор сетевой безопасности «Ру-Сфера»! будем благодарны за ваш комментарий, вопрос, лайк, подписку и просто за ваше внимание, ведь именно для вас и существует наш ресурс. Не стоит забывать, что у нас есть:

  • Дзен: ;
  • ВК: ;
  • Telegram: ;
  • Портал: .
Будьте бдительны и следите за своей безопасностью! До связи, услышимся на одном из наших ресурсов или в следующей статье! 1100010 1111001 1100101.

Post post Scriptum
У нас открылась рубрика геймхакинга, которая доступна по ссылке GameHacking. Наш коллега и ведущий специалист, товарищ @Supra может научить вас многому нагибаторскому в мире игр. Маст хэв для геймеров.

А для тех, кто только знакомится с миром виртуальных угроз будут интересны образовательные статьи по DDoS Информация - DDoS – массовое оружие точечного поражения (часть первая) - первая часть. И вторая часть - Информация - DDoS – массовое оружие точечного поражения (часть вторая). Тёмная сторона силы шикарно написанная нашим коллегой, товарищем и шефом по безопасности, мистером @X-Shar . Всем приятного чтения!
 
Верх Низ