Phân tích RAT

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Phân tích RAT
Chào các bạn! Trước đây chúng ta đã phân tích một số loại malware như: trojan, ransomware… Hôm nay chúng ta cùng nhau phân tích một loại malware khác là RAT.

1700029898369.png

RAT(Remote Access Trojan): Là một loại malware cho phép điều khiển máy tính từ xa, mà nó đã được cài đặt sẵn trên máy nạn nhân.

Để giúp các bạn có các nhìn trực quan hơn về loại malware RAT này, cũng như mức độ nghiêm trọng khi bị nhiễm RAT. Chúng ta cùng đi vào phân tích chi tiết một mẫu.

  • RAT thường sử dụng socket để giao tiếp với server. Mỗi máy bị nhiễm RAT là một client, giữa server-client đã có một tập lệnh được định sẵn, ứng với mỗi lệnh sẽ là một hành vi nhất định. Client sẽ nhận lệnh từ server để thực hiện các hành vi.
14899399531.png

Hình 1: RAT connect tới server
  • Điều chúng ta quan tâm nhất là các lệnh của RAT và ứng với mỗi lệnh thì hành vi tương ứng là gì.
  • Hình 2: Là tất cả các lệnh giữa server và RAT đã quy ước sẵn.
  • Phạm vi bài viết không cho phép nên mình chỉ điểm qua một số lệnh quan trọng như:
    • “Shell” : Giao tiếp với cmd.exe.
    • “PsList”: Lấy tất cả các tiến trình đang chạy trên máy
    • Http://”: Download file chỉ định từ server
    • ….
1489939953Capture.PNG

14899399533.png

14899399534.png

1489939953Capture.PNG

Hình 2: Tập lệnh của RAT
  • Hình 3 - Lệnh “shell” RAT sẽ CreateProcess cmd.exe và giao tiếp với nó thông qua pipe.
14899399536.png

Hình 3: Giao tiếp cmd.exe thông qua pipe
  • Hình 4 – Lệnh “Http:// , RAT thực hiện dowmload file do server chỉ định.
14899399537.png

Hình 4: RAT thực hiện downloader

  • Hình 5 – Lệnh “PsList”: Lấy tất cả các tiến trình đang chạy gửi về server
14899399539.png

Hình 5: Lấy thông tin các tiến trình gửi về server

Kết luận: Qua bài phân tích chúng ta đã thấy được mức độ nguy hiểm của RAT. Nó có thể ăn cắp bất cứ thứ gì trên máy tính, giám sát, điều khiển máy tính của nạn nhân.

Trên đây là bài phân tích của mình, bài viết còn nhiều thiếu sót, rất mong được sự góp ý của các bạn!
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên