IceRAT-Malware-Erkennung: Fang mich, wenn du kannst
Inhaltsverzeichnis:
IceRAT ist ein relativ neues Tool in der bösartigen Arena und stellt einen einzigartigen Stamm in Bezug auf seine Funktionen und beispiellosen Ausweichtaktiken dar. Bemerkenswerterweise hat die Bedrohung sehr niedrige Erkennungsraten und agiert als Stealth-Malware, die in der Lage ist, sensible Daten und finanzielle Vermögenswerte von den anvisierten Maschinen zu stehlen.
Was ist die IceRAT-Malware?
Trotz seines Namens ist IceRAT eher eine Hintertür als ein Remote-Access-Trojaner. Seine Hauptmerkmale zielen auf verkettete Infektionen und zusätzlichen Malware-Download ab, während die traditionelle RAT-Funktionalität (z.B. Befehlsausführung) fehlt. Seit seiner Entdeckung im Januar 2020 infizierte IceRAT erfolgreich Opfer mit einer Vielzahl von Informationsdieben, Kryptominern, Keyloggern und Clippern. Bemerkenswerterweise wird die Malware hauptsächlich durch Spam-Kampagnen und trojanisierte „Cracker“ verbreitet. Zum Beispiel infizierte die erste entdeckte IceRAT-Version Opfer über bösartige Dokumente, die einen trojanisierten Software-Download für den CryptoTab-Browser enthielten. IceRATs Host und C2-Server hxxp://malina1306.zzz(.)com.ua befinden sich auf einer Website in kyrillischer Schrift, was darauf hindeuten könnte, dass die Entwickler von IceRAT aus Osteuropa oder Russland kommen könnten. Obwohl IceRAT nicht in der Lage ist, die volle Fernsteuerung des Zielgeräts bereitzustellen, sollte es als ein hochgefährliches Softwarestück angesehen werden, das in der Lage ist, schwere Geräteschäden, finanzielle und Datenverluste, Datenschutzprobleme sowie Identitätsdiebstahl zu verursachen.
IceRAT-Hintertür-Ausweichtaktiken
Eine eingehende Analyse zeigt, dass es die erste Malware überhaupt ist, die in JPHP geschrieben wurde, einer PHP-Implementierung, die auf der Java VM läuft. Folglich verlässt sich IceRAT auf .phb-Dateien anstelle der traditionellen .class-Dateien von Java. Solch eine Besonderheit ermöglicht es der Bedrohung, eine extrem niedrige Erkennungsrate auf VirusTotal zu erreichen, da .php-Dateien von AV-Engines in der Regel nicht unterstützt werden. Ein weiteres ungewöhnliches Merkmal, das zur erfolgreichen Umgehung beiträgt, ist die Architektur von IceRAT. Die Implementierung ist stark fragmentiert und vermeidet es, alle Funktionen in einer Datei zu bündeln. Insbesondere nutzt die IceRAT-Malware mehrere Dateien, die jede Signalfunktion separat ausführen. Daher könnte der Downloader-Komponente, falls entdeckt, als harmlos angesehen werden, da der bösartige Inhalt fehlt.
IceRAT-Angriffserkennung
Einzigartige Ausweichtechniken, die für IceRAT-Malware angewendet werden, machen es zu einer kniffligen Aufgabe, bösartige Aktivitäten rechtzeitig zu erkennen. Unser Threat Bounty-Programmentwickler Osman Demir bereitgestellt eine Bedrohungsjagdzregel für proaktive Verteidigung:
https://tdm.socprime.com/tdm/info/SkTSU9lyAHTA/jkLNiXYBmo5uvpkj4Mhr/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, ELK Stack, QRadar, Splunk, Sumo Logic, Humio, Graylog, LogPoint, RSA NetWitness
MITRE ATT&CK:
Taktiken: Erkennung, Persistenz, Ausführung
Technik: Prozessentdeckung (T1057), Registrierungs-Run-Schlüssel / Startordner (T1060), Windows Management Instrumentation (T1047)
Registrieren Sie sich beim Threat Detection Marketplace um mehr proaktive Verteidigungsinhalte zu erreichen. Bereit, zu den Bedrohungsjagdinitiativen beizutragen? Treten Sie unserem Threat Bounty-Programm bei, um die SOC-Inhaltsbibliothek zu bereichern und sie mit der Threat Detection Marketplace-Community zu teilen.
