Рататуй, который смог, или RAT

Доброго дня, дамы и господа, с вами Parabellum Clan. Сегодня хотелось бы разобрать тему ратников или RAT (Remote Access Trojan) — вирус-троян, с помощью которого злоумышленник получает удалённый доступ к устройству.

Содержание:
1. Что такое ратники?
2. Цели использования RAT
3. Модель CKC для RAT-вирусов
4. Трудности эксплуатации RAT
5. Как не стать жертвой?
6. Успех Agent Tesla
7. Cоздание RAT, на примере njRAT
8. Пример атаки с помощью PhantomRAT и уязвимости RAR
9. Пакет публичных RAT вирусов и кряков

1. Что такое ратники?

RAT (Remote Access Trojan), а также ратник или крыса на хакерском жаргоне — вид вредоносного ПО используемого для удалённого контроля и запуска скриптов, а также выгрузки данных с устройства жертвы.

Trojan — это название объединяет целый ряд видов вирусного ПО, которое пробирается в вашу систему под видом легальной программы и начинают там творить свои грязные делишки, по типу получения доступа к вашей системе, воровства ценных данных и так далее.

Первый RAT-троян был cоздан аж в далёком 1998 и носил имя Back Orifice,  созданная известной группой хакеров Cult of the Dead Cow. С тех пор их количество выросло в сотни, а то и тысячи раз, а способность к заражению расширилась благодаря кроссплатформенности до всех систем с Java, что представляет собой и Windows с Linux-ом, и Mac OS с IOS, и Android.

Думаю каждый из вас слышал о том же NjRAT, о котором говорят все хакерские учебники и который так любят самоназванные хацкеры, так вот, для его работы вам потребуется сервер, как и для работы 99% ратников, но не стоит воспринимать это как VDS, работающий 24/7, так как в качестве сервера может выступать так же компьютер хакера, запускающий работу ратника во время сеанса атаки.

Кстати, довольно интересным примером RAT является Pegasus, которого боятся поголовно все журналисты и политики.

Функционал данных вирусов можно разделить на две категории:

1) Удалённое управление устройством — сюда входят следующие функции: удаление и установка стороннего ПО, использование для создания ботнета, подмена адресов отправки криптовалют, слежка за местоположением, камерами и микрофонами устройства, переводы денежных средств с личных кабинетов банков, получение SMS, уничтожение системы жертвы, использование устройства для DDoS атак, использование командной строки, отключение защитных функций и прочее.

2) Выгрузка данных устройства на сервер хозяина — здесь мы не заметим чего-то необычного, ведь всё сводится к тому, чтобы сделать полный дамп устройства жертвы: фото, видео, файлы на устройстве, резервные копии переписок из мессенджеров, логины и пароли, в общем — всё, что вашей душе угодно.

Я бы cказал RAT — это идеальный троян, так как он в себе собирает функции всех остальных подвидов трояна(cтиллер, клиппер, кейлогер, шифровальщик, майнер).

2. Цели использования RAT

Здесь ситуация довольно неоднозначная, поэтому цели использования можно разделить по группам лиц, которые их используют:

• Школьники и малолетние хацкеры — розыгрыши посредством аудио и видео скримеров (внезапно появляющийся страшный кадр в фильмах ужасов, видеороликах, компьютерных играх и т. п., сопровождаемый пронзительным криком или другим пугающим звуком), оставление посланий о слежке и якобы шантажа одноклассников.
• Воркеры — получение денежных средств от мамонтов путем шантажа через блокировку экрана ПК или телефона, а также получения дампов данных для последующей обработки или продажи.
• Хакеры одиночки — здесь цели разнятся от мести за былые обиды до подключения заражённого устройства к собственной сети машин для DDoS атак или спам-рассылок.
• Вольные хакерские группировки — компрометация корпоративных сетей для шифрования и шантажа, получение доступа к средствам компании из внутренней сети, раскрытие коммерческой тайны или дамп баз данных для последующей продажи.
• Правительственные хакеры — раскрытие гос.секретов и получения данных из устройств политиков, журналистов, военных. Так же нередки случае, когда RAT используются правительственными хакерами для слежки за группировками и сбора доказательной базы через зараженные устройства.

3. Модель CKC для RAT-вирусов

Дабы не утруждать вас кучей специализированных формулировок и терминов, мы пройдёмся по внешней модели Cyber-Kill Chain, которая не будет включать внутреннюю цепь и цепь манипуляции целью.

Данная модель определяет, что мы должны сделать для того, чтобы достичь своих целей, атакуя сеть, извлекая данные и поддерживая присутствие в организации. Для достижения успеха мы должны пройти через все этапы цепи, когда меры безопасности выставленные пользователем, могут помешать нашей атаке, разорвав цепь на любом этапе.

1. Внешняя разведка
   Включает в себя процессы сбора и анализа информации методами OSINT и сетевого обнаружения для поиска уязвимых точек входа: незащищённые порты или отсутствие сетевого контроля.
2. Вооружение и упаковка
   Самый важный шаг всей цепи, ведь здесь мы создаём нашу крысу с помощью специального ПО и шифруем её для дальнейшего распространения с обходом антивирусов.
3. Доставка
   Момент, когда мы начинаем распространять созданный вирус до устройства жертвы. Это может происходить различными путями:
   - Загрузка элементов: вредоносный код встроен в активные элементы с JavaScript на сайта, при взаимодействии с которыми пользователь осознанно или неосознанно загружает себе нашу крысу, ярким примером этого метода является вредоносная реклама на сайтах.
   - Сайты-ловушки: веб-домены, при переходе на которые начинается скачивание вредоносной программы.
   - Email: вредоносный код содержится в макросах или коде документа pdf, так же нередки случаи подмены расширения файла на exe.
   - Torrent-файлы: вредоносный код заранее встроен в пиратскую версию игры распространителем, при скачивании и установке проникает в систему.
   - Физические носители: устройство контактировало с заражёнными носителями информации, заражение распространяется на все контактировавшие между собой устройства.
   - Уязвимости систем: ратник, как и большинство вирусов, для перехвата доступа и проникновения в систему использует дыры в безопасности, особенно актуально на старых системах Windows.
   - Публичные сети Wi-fi: при деликатном подходе и отсутствии должной защиты у жертв, можно распространять вирус на все устройства подключенные к сети Wi-fi
4. Заражение
   После доставки на устройство жертвы, вирус разворачивается, устанавливаясь в окружении. Как правило, это происходит при использовании известной уязвимости, для которой ранее был доступен патч. В большинстве случаев нам не придётся нести расходы из-за поисков неизвестной уязвимости для проникновения и заражения, сейчас ПО предусматривает и использует уже известные методы, однако если наша цель — рыбка крупная, то здесь уже придётся раскошелиться.
5. Установка
   На этом шаге наш ратник всё ещё не набрал силу для полноценной атаки, он ждёт и собирает базу, представляясь легитимным ПО для других программ, чем и перехватывает понемногу доступ. Пока идёт процесс установки жертва ещё не заметит никаких изменений в устройстве благодаря низкой ресурсозатратности ратника на этом моменте.
6. Получение прав и управление
   На этом шаге мы передаём на контролируемые «активы» жертвы требуемые команды: что делать далее и какую информацию собирать. Используемые для сбора данных методы: снимки экрана, контроль нажатия клавиш, взлом паролей, мониторинг сети на учетные данные, сбор критического контента и документов. Часто назначается промежуточный хост, куда копируются все данные, а затем они сжимаются/шифруются для дальнейшей отправки.
7. Выполнение целевых действий
   Последний шаг внешней цепи, на этом этапе, собранные нами данные отправляются на сервер, в нашем случае ПК хакера, а мы производим модификацию или уничтожение системы или отдельных элементов системы жертвы. После цепочка продолжается, но уже на внутренних системах, если брать в пример корпоративные сети, то после этого шага вирус распространяется с одного ПК на всю сеть и проделывает эту цепочку для каждого устройства.

4. Трудности эксплуатации RAT

Грубо говоря, трудности можно разделить на три категории:
1) Трудности заражения
Как бы мы не хотели, но в данный момент нельзя просто скинуть человеку файл с ратником или отправить его по почте, ведь сработает антивирус и жертва не сможет даже запустить ваш вирус, помимо этого периодическое обновление системы убирает уязвимости, позволяющие проникать внутрь устройства, что ещё больше осложняет задачу. Но это не беда, при использовании правильных методов шифрования мы можем обойти антивирусные системы.

2) Некачественное ПО
Крякнутые или публичные ратники имеют свои проблемы: в кряках уже заранее может быть встроен вредонос для потенциального хакера, это верно для 80% cлучаев, а обнаружение усложняется тем, что сколько не прогоняй через антивирус, тебе всё равно будет выдавать опасность, не смотря на то, чистое ПО или уже компрометированное. Перейдём к публичным ратникам, которые имеют публичный исходный код, у них есть свой плюс - частое обновление, но есть также и огромный минус - они досконально известны антивирусным системам и их практически невозможно пропустить внутрь.

3) Компрометация собственной безопасности
Помимо возможности компрометации за счёт некачественного ПО, есть так же вероятность попасть на удочку безопасников, когда будете совершать атаку, а если точнее на 3-ем и 7-ом этапе цепи CKC. Во время доставки вы можете по собственной глупости дать часть своих данных или оставить небольшой след, а во время отправки данных на сервер, исключить промежуточный сервер из цепи передачи данных от жертвы, давая безопасникам способ выхода на ваше устройство.

5. Как не стать жертвой?

RAT разработаны для того, чтобы скрывать себя на зараженных машинах, предоставляя хакерам скрытый доступ. Часто они достигают этого, внедряя вредоносный код в, казалось бы, легитимное приложение. Например, пиратская видеоигра или бизнес-приложение могут быть доступны бесплатно, поскольку они были изменены вредоносным кодом.

Так как ратники действуют в крысу, это значительно осложняет процесс зажиты. Есть некоторые методы обнаружения и минимизации воздействия RAT:

• Сосредоточьтесь на векторах заражения
  RAT, как и любое вредоносное ПО, представляют опасность только в том случае, если они установлены и запущены на целевом компьютере. Развертывание антифишинговых и безопасных программ для просмотра и регулярное исправление систем может снизить риск RAT, изначально затрудняя для них заражение компьютера.
• Ищите ненормальное поведение
  RAT — это трояны , которые обычно маскируются под легитимные приложения и могут состоять из вредоносных функций, добавленных к реальному приложению. Отслеживайте ненормальное поведение приложений, например, notepad.exe, генерирующий сетевой трафик.
• Мониторинг сетевого трафика
  RAT позволяют хакеру удаленно управлять зараженным компьютером по сети, отправляя ему команды и получая результаты. Ищите аномальный сетевой трафик, который может быть связан с этими коммуникациями.
• Реализуйте минимальные привилегии
  Принцип минимальных привилегий гласит, что пользователи, приложения, системы и т. д. должны иметь только тот доступ и разрешения, которые им необходимы для выполнения своей работы. Реализация и обеспечение минимальных привилегий может помочь ограничить то, чего может достичь хакер с помощью RAT.
• Развертывание многофакторной аутентификации (MFA)
  RAT обычно пытаются украсть имена пользователей и пароли для онлайн-аккаунтов. Развертывание MFA может помочь минимизировать влияние компрометации учетных данных.

Опасность растёт так же быстро, как идёт технологический прогресс, так давайте же совершенствовать и свою защиту.

6. Успех Agent Tesla

Agent Tesla — это RAT-вирус, зародившийся аж десятилетие назад, но продолжающий набирать обороты по сей день. Особую популярность он возымел во времена Covid-19 в 2020-м году, когда на почтовые адреса обрушился шквал писем о компенсациях для переболевших коронавирусом. Однако, как вы сами догадываетесь, это были лишь письма с вложенными PDF файлами, открытие которых преводило к заражению устройств на базе Windows.

Можно было подумать, что такой метод давно устарел, кто вообще поведётся, и так далее, но, посмотрев на рейтинги вредоносов в издательстве CheckPoint, можно заметить, как медленно, но упорно он продвигается на вершину, а за прошедший месяц и вовсе занял 3-е место в общем рейтинге и 1-е среди RAT-вирусов.

Проследив по первым появлениям семплов данного вредоноса до архивов и контактов разработчиков, я связался с одним из команды, дабы задать пару вопросов, конечно, не обошлось без должного игнора и геморроя, но всё же удалось узнать, сколько заработали разработчики за эти 10 лет:

Меры безопасности совершенствуются, мы сейчас понемногу теряем в позициях охвата, но за всё время, было получено больше 60 млн$///

Я, пожалуй, не буду продолжать цитату, но вы просто вдумайтесь, 60 млн$, как часто вы видите такую сумму? Вот и я о том...
Но самое интересное заключается не в деньгах, а в том, что сотни и тысячи уникумов продолжают совершенствовать данную крысу, это уже привело к тому, что за последние 4 года, было обнаружено более 180000 модификаций данной программы.

7. Cоздание RAT, на примере njRAT

В качестве учебного ратника я выбрал один из простейших и популярнейших RAT-ов, а именно излюбленных хацкерами njRAT. Опишу его функционал и небольшие технические моменты:

• Сбор бил­да занима­ет ров­но десять секунд. Наг­рузка на сис­тему‑жер­тву очень силь­ная: про­цес­сор занят на 18%, что силь­но выда­ет вирус.
• Соз­дано это доб­ро на .NET Framework. На нем работа­ют мно­гие сов­ремен­ные вирусы, так что ничего уди­витель­ного в этом нет.
• Соеди­нение с C&C-сер­вером зашиф­ровано — еще один плю­сик этой njRAT
• Открытый исходный код, который с одной стороны является плюсом, но и минусом.
• В сети есть тысячи вариаций данной программы, но общий функционал ратников осуществлён в полной мере: перехват управления, файловый менеджмент, возможность делать скриншоты и запись аудио/видео.

А теперь приступим, для начала нам нужно скачать njRAT (как бы банально это не звучало), вы можете поискать сами, либо перейти по ссылкам в конце статьи, а я пока использую версию с GitHub:

Как только наш zip-архив распаковался, мы открываем exe-файл в полученной папке (надеюсь, вы не забываете про базовые правила безопасности и сможете скачать архив). Если не отключили антивирус на виртуалке, то будет немножко рябить от уведомлений и найденом вредоносе.

Опа, а что это такое? Всё просто, нам заранее нужно было открыть порт на нашем роутере и прописать его сюда.  Надеюсь, что не нужно объяснять то, что он же, должен быть добавлен в исключения вашего брандмауэра, (можете загуглить «как открыть порт [название вашего роутера]»). Всё ввели, жмём Start.

Вот оно, наше будущее основное окно, где мы увидим всех наших жертв, но для начала нам нужно создать ратник, иль как вы собрались пополнять списки жертв? Для этого жмём Builder, дабы открыть окно конструктора.

Ну вот и ваш конструктор, здесь делаются все вирусы с помощью njRAT, параметров здесь больше чем нужно, лучше разберитесь сами, потыкайте, пощёлкайте, иначе у нас здесь будет монолог часа на два подробных объяснений. Из названий опций можно понять суть того или иного пункта. Когда вы завершили процесс настройки, жмём Start и получаем exe файл с вирусом. Он практически не имеет шифрования, поэтому нужно быть максимально тупым, дабы его подхватить:

Результат не прям ужасный, но он обнаруживается 48 из 69 антивирусных программ. Ищите в глубинках даркнета, у нас в чате, иль где-либо в клирнете, сейчас всюду полно различных крипторов, которые помогут вам зашифровать ваш ратник, понизив это число до нескольких штук.

Но если наша жертва всё же откроет созданный exe-файл, то мы увидим вот такое окошко с управлением:

Только что мы прошлись по самым поверхностным основам, а теперь давайте перейдём к конкретному примеру атаки, но уже с помощью более совершенного ратника, рассматривать её мы будем с позиции жертвы.

8. Пример атаки с помощью PhantomRAT и уязвимости RAR

Это довольно свежая тема, взявшая своё начало в январе 2024 года, когда на почты сотрудников российских компаний начали приходить письма с RAR архивами, защищенные паролем (пароль содержится в теле письма) и содержащими PDF файлы. Они эксплуатируют вариацию уязвимости WinRAR —CVE-2023-38831, в которой вместо ZIP-архивов используются RAR. Сами архивы содержат PDF-файл и одноименную папку, в которой располагается исполняемый файл. После попытки открытия PDF-файл вместо него будет запущен вредоносный исполняемый файл. Финальной обнаруженной стадией является троян удаленного доступа PhantomRAT, а группа, разработавшая его получила название PhantomCore.

Прочитав всё это, вы наверное, подумаете, что всё довольно сложно и для этого подойдёт только ратник PhantomRAT, но это не так. Те же EXE-файлы, генерируемые njRAT так же могут использоваться для эксплуатации данной уязвимости WinRAR.

Раннее мы с вами уже изучили цепочку Cyber-Kill Chain для нас в лице хакеров, но сейчас можем проследить более детально, что будет с жертвой, при запуске данного трояна:

Первым делом пользователь получает фишинговое письмо, с прикреплённым к нему архивом и паролем от этого самого архива:

Письмо содержит информацию о направлении договора и вложенный архив, защищенный паролем (пароль содержится в теле письма — @Finance_112).

Злоумышленники используют разновидность CVE-2023-38831, эксплуатируя ту же уязвимость WinRAR. Исключением является использование RAR-архивов вместо ZIP. Таким образом, если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной папке архива. В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл, содержащий «Заявление».

Исполняемый файл «Заявление.pdf .exe» является .NET-приложением и, как только пользователь распаковывал архив и открывал его, начиналась полноценная атака, а вирус уже проник в систему и выполнял команды, посылаемые ему с главного сервера.

Вот такие разнообразные бывают атаки с помощью крысок, с которыми мы сегодня познакомились.

9. Пакет публичных RAT вирусов и кряков

А вот и обещанные паки крыс, используйте с умом и только в ознакомительных целях:
GitHub - Ultimate Rat Pack
TG - Mega Rat Crack

Всем удачи в ваших теневых делах, не забывайте о безопасности!
От Parabellum Clan
(можете также вступить в наш чат)