Обнаружен I2PRAT: Новый угрожающий многоэтапный RAT
Источник: blog.sekoia.io
Недавнее расследование, проведенное TDR (Threat Detection & Research), выявило новый вариант вредоносного ПО под названием I2PRAT, который классифицируется как многоэтапный троян удаленного доступа (RAT). Этот вредоносный код связывают с киберкампанией, начатой в ноябре 2024 года, и использует передовые методы обфускации для укрытия своего поведения и уклонения от обнаружения.
Характеристики и методы работы I2PRAT
Процесс обратного проектирования вскрыл ряд сложных возможностей I2PRAT, в том числе:
- Обход защиты;
- Повышение привилегий;
- Динамическое разрешение API.
Заражение с помощью I2PRAT происходит в три этапа. На начальном уровне вредоносный код выполняет функцию связующего/упаковщика, который запускает загрузчик в памяти. Этот загрузчик:
- Проверяет и повышает свои привилегии, взаимодействуя с Windows API;
- Использует механизмы удаленного вызова процедур (RPC) для обхода контроля доступа пользователей (UAC).
Однако следует отметить, что несмотря на попытки использовать RPC, вредоносная программа была заблокирована обновлением для системы безопасности (KB5031356), которое восстановило запрос UAC, тем самым блокируя попытки получения прав локального администратора без обнаружения.
Методы связи и постоянность I2PRAT
Запущенный с достаточными привилегиями, загрузчик использует SeDebugPrivilege для дублирования процесса в повышенном состоянии под учетной записью NT AuthoritySYSTEM. Это позволяет проводить дальнейшие вредоносные действия.
Вредоносная программа взаимодействует со своим сервером управления (C2) через стандартное TCP-соединение, используя порты от 1110 до 1130 и шифруя связь с помощью AES-128 в режиме цепочки блоков шифрования (CBC). Инициализация связи включает метод первоначального подтверждения связи, устанавливающий уникальные ключи шифрования.
После успешной установки I2PRAT выполняет сценарий PowerShell, предназначенный для отключения функций безопасности защитника Windows. Вредоносное ПО создает службу автозапуска с именем «RDP-Controller» и удаляет важные компоненты, включая библиотеки DLL, что облегчает его работу в системе.
Сложность отслеживания и анализ поведения
I2PRAT работает через сеть Invisible Internet Project (I2P), что добавляет сложности в его отслеживании из-за анонимного характера связи. Этот модульный троян имеет различные библиотеки DLL, отвечающие за:
- Управление файлами;
- Сетевое взаимодействие;
- Создание логов для судебно-медицинских расследований.
Несмотря на использование анонимной сети, записи логов могут быть полезными при расследованиях.
Стратегии обнаружения и анализа
Обнаруженное поведение I2PRAT предоставляет аналитикам кибербезопасности возможности для выявления угроз. Ключевые области для анализа включают:
- Изменение системных настроек, особенно в конфигурациях RDP;
- Отслеживание библиотек DLL;
- Мониторинг подозрительных шаблонов в сообщениях C2.
Разработка специальных правил Sigma поможет сделать процесс мониторинга более эффективным и своевременным.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
