Fermer

mai 6, 2022

Dissection du comportement du cheval de Troie d’accès à distance (RAT) Netwire sur un terminal infecté

Dissection du comportement du cheval de Troie d’accès à distance (RAT) Netwire sur un terminal infecté


Netwire est un cheval de Troie d’accès à distance (RAT) capable de voler des mots de passe, d’enregistrer des frappes et inclut des capacités de contrôle à distance. Netwire RAT a été utilisé par des groupes de menaces persistantes avancées (APT) dans le passé.

Dans une récente campagne de spam, Netwire RAT a été livré via un fichier zip réalisé contenant un script Visual Basis.

Équipe de conseil en sécurité OpenTextdans le cadre de leurs recherches sur les menaces, surveille en permanence le comportement des logiciels malveillants sur le terminal et crée un contenu d’alerte pour ses MxDR et Services de sécurité gérés les clients.

Chaîne d’infection

Lors de l’exécution du script Visual Basic malveillant associé à l’infection Netwire RAT, le script contacte un site Web compromis et télécharge un script Visual Basic mis à jour. Le script appelle ensuite le processus PowerShell pour exécuter un script encodé en Base64 afin de créer une persistance, de télécharger des charges utiles supplémentaires, d’injecter du code dans le processus ieinstall et de communiquer avec l’hôte de commande et de contrôle Netwire RAT (C2).

PowerShell engendrant le processus ieinstall (comportement anormal)
Montré ci-dessus: PowerShell engendrant le processus ieinstall (comportement anormal)
Svchost engendrant le processus ieinstal sur un hôte non infecté (comportement attendu)
Montré ci-dessus: Svchost engendrant le processus ieinstal sur un hôte non infecté (comportement attendu)
Netwire RAT créant une persistance dans le registre Exécuter la clé pointant vers la clé de registre AppDataLow
Montré ci-dessus: Netwire RAT créant une persistance dans le registre Exécuter la clé pointant vers la clé de registre AppDataLow
La clé de registre AppDataLow qui exécute un script PowerShell encodé en Base64 utilisé pour exécuter le binaire chiffré Netwire RAT
Montré ci-dessus: La clé de registre AppDataLow qui exécute un script PowerShell encodé en Base64 utilisé pour exécuter le binaire chiffré Netwire RAT
Processus ieinstall injecté communiquant avec les hôtes Netwire RAT C2 sur le port 3360
Montré ci-dessus: Processus ieinstall injecté communiquant avec les hôtes Netwire RAT C2 sur le port 3360
Explorer engendrant PowerShell pour interagir avec la clé de registre dans le répertoire AppDataLow
Montré ci-dessus: Explorer engendrant PowerShell pour interagir avec la clé de registre dans le répertoire AppDataLow

Contenu utilisé pour alerter sur le comportement du Netwire RAT

Utilisation du générateur de règles Unicoder.io Sigma pour alerter l'explorateur engendrant le processus PowerShell contenant la clé de registre '\software\appdatalow\' dans la ligne de commande
Montré ci-dessus: Utilisation du générateur de règles Unicoder.io Sigma pour alerter l’explorateur engendrant le processus PowerShell contenant la clé de registre ‘\software\appdatalow\’ dans la ligne de commande
Utilisation du générateur de règles Unicoder.io Sigma pour alerter que PowerShell génère le processus ieinstal
Montré ci-dessus: Utilisation du générateur de règles Unicoder.io Sigma pour alerter que PowerShell génère le processus ieinstal

Indicateurs de compromis (IoC)

Hachage MD5 : 831f8bcc9aacd0570d62355010455c79 – Hachage associé au script VB initial utilisé pour télécharger Netwire RAT

Hachage MD5 : 15727c74c194a1de647552d66006ecfe – Hachage associé au script VB secondaire utilisé pour télécharger le Netwire RAT

toshiba1122.ddns[.]rapporter – Domaine associé au Netwire RAT C2

194.5.98[.]59 port 3360 – Adresse IP hébergeant Netwire RAT C2

197.210.226[.]83 port 3360 – Adresse IP hébergeant Netwire RAT C2

197.210.226[.]190 port 3360 – Adresse IP hébergeant Netwire RAT C2

Auteur: Lenny Conway, consultant principal

Le meilleur outil 2023 pour ta croissance Instagram !



Source link