En ny Python RAT (Remote Access Trojan) var bare afsløret ved sikkerhedseksperter. kaldet PyXie, den trojanske er blevet observeret i naturen siden 2018, eller måske endnu tidligere, men er ikke blevet analyseret dybt indtil nu.
Pyxie RAT: Teknisk oversigt
Ifølge BlackBerry Cylance forskere, PyXie bliver brugt i angreb på flere brancher. Analysen viser, at malware er blevet indsat i forbindelse med Cobalt Strike og en downloader ligner Shifu.
Forskerholdet var i stand til at udføre flere incident response træfninger, hvor RAT blev identificeret på inficerede værter. Takket være disse oplysninger, forskerne skitserede malware er ”centrale højdepunkter”Set i kampagner:
- Legitime LogMeIn og Google binære filer, der anvendes til sideloade nyttelast.
- En Trojanized Tetris app til at indlæse og udføre Cobalt Strike stagers fra interne netværk aktier.
- Anvendelse af en downloader med ligheder til Shifu navngivne “Cobalt-tilstand”.
- Anvendelse af Sharphound at indsamle Active Directory oplysninger fra ofrene.
- En brugerdefineret kompileret Python-fortolker, der bruger scrambled opkoder at hindre analyse.
- Anvendelse af en modificeret RC4-algoritme til at kryptere nyttelast med en unik nøgle per inficerede vært.
PyXie RAT: Distribution
Rotten er fordelt ved hjælp af en sideloading teknik udnytter legitime applikationer. Et eksempel på en sådan app er en trojanized version af en open-source Tetris spil. Hvis det potentielle offer downloader spillet, de vil også hente den ondsindede nyttelast uden at vide. De malware anvendelser PowerShell at eskalere privilegier og opnå vedholdenhed på den inficerede vært.
Som allerede nævnt, PyXie bruger Cobalt-tilstand til at forbinde til en kommando og kontrol-server for at downloade den endelige nyttelast af operationen.
Som forklaret i rapporten, hovedformålet med Cobalt tilstand omfatter flere faser, såsom tilslutning til kommando og kontrol-server, downloding en krypteret nyttelast og dekryptering af det, kortlægning og udførelse nyttelasten i adresserummet i den igangværende, og gydning en ny proces for koden injektion.
Relaterede: CStealer trojanske stjæler passwords fra Chrome, Sender dem til ekstern database
Det er bemærkelsesværdigt, at den Cobalt-tilstand kan gennemføre en række miljømæssige kontrol for at afgøre, om det er at blive kørt fra en sandkasse eller virtuel maskine (VM). Det kan også afgøre, om et smart card-læser er vedhæftet, og hvorvidt anmodninger bliver opfanget med en man-in-the-middle (MITM) angreb.
Som for den afsluttende fase nyttelast, det er "en fuldt udstyret Python RAT kompileret ind i en eksekverbar". Forfatterne af skadelig kode kompileret deres egen Python-fortolker stedet for at bruge Py2Exe eller PyInstaller at skabe den eksekverbare.
Endelig, funktionerne i PyXie RAT inkluderer man-in-the-middle-aflytning, web injektioner, keylogging funktionaliteter, legitimationsoplysninger høst, scanning netværk, cookie tyveri, clearing logs, optagelse video, kører vilkårlige nyttelast, overvågning USB-drev og exfiltrating data, WebDAV-server og Socks5 proxy, VNC-forbindelse, certifikat tyveri, kontrol-software, og optælle domænet med Sharphound.
PyXie RAT også i ransomware kampagner
Forskerne har også set beviser på PyXie bliver brugt i flere ransomware-angreb. I dette tilfælde, læsseren er en trojanized open source Tetris spil, hvilke belastninger en krypteret shellcode nyttelast kendt som settings.dat fra et internt netværksshare.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: