Logiciel Malveillant Castle RAT Client : Tactiques, Techniques et Artisanat

Résumé

CastleRAT est un cheval de Troie d’accès à distance observé pour la première fois en mars 2025, distribué en variantes Python et C compilé. Il recueille des métadonnées système, des frappes au clavier, le contenu du presse-papiers, des captures d’écran et des détails sur les appareils multimédias, puis exfiltre ces informations vers un serveur C2 en utilisant le chiffrement RC4. Le malware peut récupérer des charges utiles supplémentaires, les lancer via rundll32 et établir la persistance via des tâches planifiées et des méthodes de contournement de l’UAC.

Investigation

L’équipe de recherche sur les menaces de Splunk a rétro-conçu les implémentations Python et C, mappant leurs comportements aux techniques MITRE ATT&CK, y compris la découverte de système, la capture de frappes au clavier, la capture d’écran, l’énumération des dispositifs audio/vidéo, les résolveurs mort-dépôts et la duplication de poignées pour l’escalade des privilèges. La recherche a mis en avant la dépendance de CastleRAT sur les binaires Windows légitimes (rundll32, ComputerDefaults.exe) et son utilisation de www.ip-api.com pour obtenir l’adresse IP publique.

Atténuation

Les défenseurs doivent détecter les connexions sortantes suspectes vers des domaines inconnus, les motifs de trafic chiffré RC4, et les exécutions de rundll32 utilisant des chargements de DLL basés sur les ordinaux. Surveillez les tâches planifiées créées pour démarrer CastleRAT, les tentatives de contournement de l’UAC exploitant ComputerDefaults.exe, et les processus lancés avec des indicateurs de navigateur silencieux. Bloquez l’accès aux emplacements de résolveurs morts-dépôts connus, y compris les pages abusées de la communauté Steam.

Réponse

Lorsque l’activité de CastleRAT est identifiée, isolez l’hôte impacté, tuez les processus malveillants et supprimez toutes les tâches planifiées ou artefacts de persistance associés. Collectez des preuves médico-légales telles que des hiérarchies de processus, des arguments en ligne de commande et des modifications du registre. Effectuez une chasse complète pour des plugins DLL supplémentaires et des canaux C2, puis déployez des mesures de remédiation et de durcissement dans l’environnement plus large.

Exécution de simulation

Condition préalable : Le contrôle télémetrie et baseline doit avoir réussi.

Rationale : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémetrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés mèneront à un mauvais diagnostic.

• Narration & Commandes de l’attaque :

  1. Étape 1 – Déployer le binaire CastleRAT : L’attaquant copie CastleRAT.exe dans le répertoire %APPDATA% de la victime pour se fondre avec les données utilisateur.
  2. Étape 2 – Exécuter le keylogging : En utilisant un petit chargeur C#-en-mémoire, l’attaquant invoque SetWindowsHookEx pour installer un crochet clavier bas-niveau, entraînant Sysmon à enregistrer l’API dans le CallTrace de l’événement de création de processus.
  3. Étape 3 – Élévation de privilège : Le même chargeur appelle ensuite DuplicateHandle pour dupliquer une poignée d’un processus système privilégié (par exemple, lsass.exe), permettant au malware de s’exécuter avec des droits SYSTEM. Les deux appels API apparaissent dans le même CallTrace de Sysmon, satisfaisant les critères de la règle de détection.

• Script de test de régression :

  # -------------------------------------------------
  # Simulation CastleRAT – déclenche SetWindowsHookEx et DuplicateHandle
  # -------------------------------------------------
  $castlePath = "$env:APPDATACastleRAT.exe"
  
  # 1. Déposez un stub minimal qui charge la charge utile réelle (simulée ici)
  $payload = @"
  using System;
  using System.Runtime.InteropServices;
  public class Loader {
      [DllImport("user32.dll")]
      public static extern IntPtr SetWindowsHookEx(int idHook, IntPtr lpfn, IntPtr hMod, uint dwThreadId);
      [DllImport("kernel32.dll", SetLastError = true)]
      public static extern bool DuplicateHandle(IntPtr hSourceProcessHandle,
                                                IntPtr hSourceHandle,
                                                IntPtr hTargetProcessHandle,
                                                out IntPtr lpTargetHandle,
                                                uint dwDesiredAccess,
                                                bool bInheritHandle,
                                                uint dwOptions);
      public static void Execute() {
          // Installer un crochet clavier bas-niveau (WH_KEYBOARD_LL = 13)
          SetWindowsHookEx(13, IntPtr.Zero, IntPtr.Zero, 0);
          // Dupliquer une poignée du processus courant (simulée)
          IntPtr dupHandle;
          DuplicateHandle((IntPtr)-1, (IntPtr)0x1234, (IntPtr)-1, out dupHandle, 0, false, 0);
      }
  }

« @

# Compiler le code C# à la volée
Add-Type -TypeDefinition $payload -Language CSharp

# Copier le processus PowerShell actuel (agit comme CastleRAT.exe) vers le chemin cible
Copy-Item -Path $PSCommandPath -Destination $castlePath -Force

# Exécuter la charge utile malveillante
[Loader]::Execute()

# Garder le processus en vie brièvement pour s'assurer que Sysmon enregistre la pile d'appels
Start-Sleep -Seconds 5

• Commandes de nettoyage :

  # Supprimez le binaire CastleRAT simulé
  Remove-Item -Path "$env:APPDATACastleRAT.exe" -Force
  
  # Optionnellement décharger les crochets (non nécessaire pour le stub, mais inclus pour complétude)
  # Aucun déchargement explicite requis pour l'appel SetWindowsHookEx avec callback NULL utilisé ci-dessus.