Εντοπισμός Venom Rat με το Cyber Radar

Τι είναι το Venom Rat:

Το Venom RAT είναι ένα εργαλείο απομακρυσμένης πρόσβασης που στοχεύει τα λειτουργικά συστήματα των Windows και επιτρέπει στους επιτιθέμενους να αποκτήσουν πλήρη πρόσβαση και απομακρυσμένο έλεγχο των μηχανημάτων των θυμάτων. Συνήθως διανέμεται ως κακόβουλο συνημμένο σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, κακόβουλη διαφήμιση και άλλες τεχνικές κοινωνικής μηχανικής. Ο κύριος σκοπός αυτού του RAT είναι να κλέψει και να εξαγάγει πληροφορίες σε έναν διακομιστή ελέγχου και εντολών (command and control server – C2 Server).

Το Venom RAT παρέχει τις παρακάτω δυνατότητες:

• Εξαγωγή δεδομένων από προγράμματα περιήγησης ,cookies περιήγησης, στοιχεία πιστωτικών καρτών, autofills και κωδικοι πρόσβασης.
• Συλλογή πληροφοριών συστήματος.
• Αποστολή δεδομένων από ένα μολυσμένο σύστημα προς έναν διακομιστή ελέγχου και εντολών (C2 Server).
• Καταγραφή πληκτρολόγησης στο μολυσμένο σύστημα.
• Καταγραφή βίντεο και ήχου χρησιμοποιώντας την κάμερα και το μικρόφωνο του συστήματος.

Ανάλυση συμπεριφοράς:

Όταν εκτελείται το Venom RAT σε ένα σύστημα, κάνει τις παρακάτω συμπεριφορές:

• Το Venom RAT δημιουργεί ένα αντίγραφο του εαυτού του στον φάκελο C:\Users<USERNAME>\AppData\Roaming\ με το όνομα αρχείου svchost.exe, προσποιούμενο ένα νόμιμο αρχείο.
• Το Venom RAT δημιουργεί ένα κλειδί μητρώου (registry key) στη διαδρομή \SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ για το δημιουργημένο αρχείο svchost.exe, προκειμένου να εξασφαλίσει την εκτέλεσή του κάθε φορά που επανεκκινείται το μολυσμένο σύστημα του θύματος.
• Το Venom RAT ενσωματώνεται (injection) σε πολλαπλά αρχεία .dll.
• Το Venom RAT δημιουργεί αρχεία .tmp και .tmp.bat στον φάκελο C:\Users<USERNAME>\AppData\Local\Temp.
• Το Venom RAT εκτελεί το δημιουργημένο αρχείο .tmp.bat.
• Το Venom RAT χρησιμοποιεί το cmd.exe για να διαγράψει το δημιουργημένο αρχείο .tmp.bat.

Εντοπισμός του Venom Rat:

Το Cyber Radar έχει δύο τεχνικές εντοπισμού του Venom Rat τα εξής παρακάτω:

Καταγραφή και αξιολόγηση συμβάντων στα Windows: Το Cyber Radar έχει την δυνατότητα να εντοπίζει αυτές τις ενέργειες που αναφεραμε όταν γίνονται σε ένα σύστημα και οταν εντοπίζονται δημιουργείται η αντίστοιχη ειδοποίηση στο Dashboard. Οι ειδοποιησεις αναλύονται και αξιολογούνται και κατόπιν πραγματοποιούνται οι απαραίτητες ενέργειες για την αντιμετώπιση του συμβάντος.

File Integrity Monitoring (FIM): Ανιχνεύει τα αρχεία όταν δημιουργούνται, διαγράφονται ή αλλάζουν και καταγράφει τα hash των αρχείων χρησιμοποιώντας SHA1, MD5, SHA256 και IMPHASH. Κατόπιν συγκρίνει τα hash όλων των αρχείων με τη βάση δεδομένων μας (Threat Intelligence) και αν κάποιο hash ταυτιστεί με αυτο του Pandora θα δημιουργηθεί η αντίστοιχη ειδοποίηση στο Dashboard του Cyber Radar και αμέσως θα διαγραφεί αυτόματα.