AT&T Alien Labs‘dan araştırmacılar, FatalRAT adı verilen zararlı yazılımın uzaktan kod çalıştırma ve evasion (atlatma) teknikleri gerçekleştirebileceğini, sistemde kalıcılık elde edebildiğini, kullanıcının tuş vuruşlarını günlüğe kaydedebildiğini, sistem bilgilerini toplayabildiğini ve şifreli bir komuta kontrol kanalı ile iletişim kurduğunu söylüyor.
FatalRAT Saldırı Analizi
Makine zararlı yazılım AntiVM testlerini geçerse, FatalRAT zararlı aktiviteleri başlatacaktır.
İlk olarak, yapılandırma dizelerinin her birinin şifresini ayrı ayrı çözer.
Bu yapılandırma dizeleri,
- C2 adresini
- Zararlı yazılım dosya adını,
- hizmet adını,
ve diğer ayarları içeriyor.
AntiVM testi, özgün yürütme akışlarını işlemek için sanal makine yapılandırma dosyalarını, yürütülebilir dosyaları, kayıt defteri girdilerini veya diğer göstergeleri algılamaktadır.
RAT ayrıca, disableLockWorkstation yani kayıt defteri anahtarını kullanarak kullanıcının bilgisayarı CTRL+ALT+DELETE komutuyla kilitleme yeteneğini de devre dışı bırakır.
Bilgisayar kilitlenmesi devre dışı bırakıldıktan sonra, keylogger etkinleştirilir.
Alien Labs güvenlik araştırmacısı Ofer Caspi “FatalRAT kayıt defterini değiştirebilir veya yeni bir hizmet oluşturabilir. Kayıt defteri değiştirilerek kalıcılık sağlarsa, kötü amaçlı yazılımı önyükleme zamanında kodu yürütebilmek için “SoftwareMicrosoftWindowsCurrentVersionRunSVP7” değerini oluşturur.” dedi
FatalRAT daha sonra enfekte olmuş makineden harici IP adresi, kullanıcı adı ve kurbanla ilgili diğer bilgileri topluyor ve C2 sunucusuna gönderiyor.
“C&C sunucusu ile iletişim kurmak için, kurban ve saldırgan arasında gönderilen verileri şifrelemek adına aritmetik bir rutin kullanır. Şifreleme, bir baytlık XOR anahtarı ve elde edilen değere sabit bir değer daha eklenmesiyle elde edilir.”
Şifrelenmiş veri daha sonra 8081 numaralı port üzerinden C&C sunucusuna gönderilir ve saldırganın komutunu bekler.
Zararlı yazılımın farklı tarayıcıları işlemek için birkaç rutini vardır.” diyor. “Bu yordamlardan bazıları belirli tarayıcılar için kullanıcı bilgilerini silmeyi içerir. (Edge, 360 Secure Browser, QQBrowser, SogouBrowser ve Firefox). Chrome için kullanıcı bilgilerini sorgular ve ardından içeriği siler. Kaydedilen bilgilerin silinmesiyle birlikte kullanıcı bilgileri tekrar girecek ve keylogger bu bilgileri kayıt edecektir.
Ayrıca kurbanın ağında zayıf parolaları zorlayarak yayılır. Daha sonra kendisini %Folder%hackshen.exe olarak kopyalar ve kopyalanan dosyayı uzaktan çalıştırır.
FatalRAT komutlarına değinecek olursak,
- Keylogger
- Web kamerası ve mikrofon erişimi
- Ekran görüntüsü alma
- Çözünürlük değiştirme
- UltraViewer’ı kaldırma
- AnyDesk’i indirme
- Kabuk komutları yürütme
- Kayıt defteri anahtarlarını değiştirme
- Dosya indirme/yürütme
- gibi işlevleri içerir.
Bu özellikler, FatalRAT saldırganlarına sistem üzerinde tam kontrol sağlamak için fazlasıyla yeterlidir.
Telegram Üzerinden Yayılıyor
FatalRAT, Telegram üzerinden dağıtılmış gibi görünüyor. Sahte profiller ve gruplar, kullanıcıyı ilginç bir yazılım veya medya parçasına yönlendirdiğini söylüyor fakat bu dosyalarla birlikte kullanıcılar FatalRAT’ı indiriyorlar.
Aşağıdaki IoC listesi, YARA kuralı ve Suricata IDS imzaları ile güvenlik önlemlerinizi sağlayabilirsiniz.
| TYPE | INDICATOR | DESCRIPTION |
| SHA256 | e52af19dce25d51f9cf258613988b8edc583f7c7e134d3e1b834d9aab9c7c4c4 | Malware hash |
| SHA256 | dc026cd76891d1f84f44f6789ac0145a458e2c704a7bc50590ec08966578edb3 | Malware hash |
| SHA256 | cb450f82c49eadd597a87645f9f30c52c03c6ed9425386af5b321664fe3a6da0 | Malware hash |
| SHA256 | 210990e36122e0facc7c74373569f052fa0651ab06644330fe00b685793ee0fd | Malware hash |
| SHA256 | 34f37327a0154d644854a723e0557c733931e2366a19bdb4cfe6f6ae6770c50f | Malware hash |
| SHA256 | ec0dcfe2d8380a4bafadb3ed73b546cbf73ef78f893e32202042a5818b67ce56 | Malware hash |
| SHA256 | b01719e59675236df1a0e1a78cdd97455c0cf18426c7ec0f52df1f3a78209f65 | Malware hash |
| SHA256 | 72cd668d9bc442f522556807390d4f7e32966bef20ef1a831bf36a5ab213191e | Malware hash |
| SHA256 | 1cabdb7ab1cbd0526498d15839c780850a41a8c917b65581fad9e7dbdedd5e0f | Malware hash |
| SHA256 | 5453911d6f597d65ab542ec25723a7d87b2292c2e2a52a40d3a32032f6117acd | Malware hash |
| SHA256 | 826d07108a1223140e6a58b44722404009ac2e82df0acfd7d1f5bf29b56526b6 | Malware hash |
| SHA256 | 337841b5ade52ba853a30eb8ab04dede64d89808893fb6e04122479502951528 | Malware hash |
| SHA256 | 17075832426b085743c2ba811690b525cf8d486da127edc030f28bb3e10e0734 | Malware hash |
| IP ADDRESS | 103.119.44[.]152 | C&C |
| IP ADDRESS | 103.119.44[.]93 | C&C |
| IP ADDRESS | 103.119.44[.]100 | C&C |
| SURICATA IDS SIGNATURES |
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"AV TROJAN FatalRAT CnC Request"; flow:established,to_server; dsize:300<>500; content:"|BF BC 95|"; startswith; content:"|8D 8E 8E 5E 90 8E 8E 2C 1B 80 8E E6 02 A7 6D FC C6 00 06 4F 0E 97|"; distance:1; within:22; threshold:type limit, count 1, seconds 3600, track by_src; reference:md5,99fc53d3d4c2c31fd5b5f0f15dbdeab4; classtype:trojan-activity; sid:4002633; rev:1;) |
2033093: ET TROJAN FatalRAT CnC Activity |
| YARA RULES |
rule FatalRAT_unpacked
{
meta:
author = "AT&T Alien Labs"
sha256 = "ec0dcfe2d8380a4bafadb3ed73b546cbf73ef78f893e32202042a5818b67ce56"
type = "malware"
description = "Detects FatalRAT, unpacked malware."
copyright = "Alienvault Inc. 2021"
strings:
$decrypt_func = {EC 0F B6 45 10 99 B9 AB 05 00 00 56 F7 F9 8B 75 0C 80 C2 3D 85 F6 76 0F 8B 45 08 8A 08 32 CA 02 CA 88 08 40 4E 75 F4 5E 5D C3}
$s1 = "SVP7-Thread running..."
$s2 = "nw_elf.dll"
condition:
uint16(0) == 0x5a4d and all of them
} |