Detectar el Malware de Acceso Remoto Borat
Tabla de contenidos:
Una nueva herramienta de acceso remoto complicada llamada Borat RAT fue encontrada por investigadores de ciberseguridad. Tal como sugiere el nombre, es una mezcla loca de cosas que es difícil de entender. Borat Trojan es una colección de módulos de malware que viene con un generador y un certificado de servidor que incluye más de 10 funciones maliciosas.
Si Borat entra en el sistema, es capaz de tomar el control del ratón y teclado, archivos y recursos de red, capaz de grabación de video y audio, robo de credenciales, DDoS, ransomware, keylogging y mucho más. Para colmo, Borat RAT ofusca datos para hacer su presencia imperceptible. Aprenda más sobre las soluciones que proponemos para detectar el malware mencionado anteriormente.
Detección de malware de acceso remoto Borat
Puede detectar generadores de Borat (RAT) implementando la regla más reciente creada por nuestro desarrollador de Threat Bounty Furkan Celik.
Detección del Trojan de acceso remoto Borat que habilita ataques de ransomware (via file_event)
Esta regla se traduce en los siguientes formatos SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Comando y Control y la técnica de Transferencia de Herramientas de Ingreso (T1105).
Como sabes, los adversarios no se detienen después de haber desarrollado una determinada pieza de malware e incluso cuando la están vendiendo con éxito en un mercado de la web oscura. En su lugar, siguen renovando y puliendo sus creaciones sobre la marcha. Para evitar la situación en la que te pierdas las últimas actualizaciones de Borat RAT, consulta la lista de todas las detecciones disponibles para este ciberataque hasta la fecha. Puedes refinar tus criterios de búsqueda para cumplir con las necesidades específicas en la sección de Búsqueda Avanzada.
Además, si eres un cazador de amenazas o un ingeniero de detección, hay una oportunidad de obtener reconocimiento y beneficios monetarios inscribiéndote en nuestra iniciativa de crowdsourcing. Crea tus propias detecciones personalizadas, envíalas a la plataforma y ayuda a aumentar la resiliencia cibernética global.
Ver detecciones Únete a Threat Bounty
Análisis de Borat RAT
Como mencionamos anteriormente, hay una multitud de características de Borat que los investigadores dividieron en algunas categorías principales:
- hVNC remoto — escritorio y navegadores ocultos
- Diversión Remota — monitor encendido/apagado, mostrar/ocultar barra de tareas, reloj, bandeja, ratón, etc., activar/desactivar el Administrador de Tareas, desactivar UAC, y más
- Sistema Remoto — shell remoto, proxy inverso, editor de registro, gestor de archivos, conexión TCP, y más
- Características del Stub — cambio de nombre del cliente, desactivar defensor, cambiar nombre de registro, anti-matar, habilitar registrador de teclas, y más
- Recuperación de Contraseñas — Chrome y Edge
- RAT + HVNC — características de HVNC más descarga remota y ejecución
Para facilitar la navegación a través de esa amplia funcionalidad, los atacantes han creado un panel especial donde un usuario malicioso puede elegir sus objetivos actuales y, si es necesario, compilar un binario para DDoS y ransomware.
Borat RAT es un malware potencialmente muy peligroso porque es una mezcla única de RAT, ransomware, una herramienta de DDoS y un spyware todo en uno. Al instalar solo un troyano, los adversarios pueden lanzar toda una gama de ataques. Pueden elegir si quieren secuestrar los controles del dispositivo, robar información, alterar la configuración del sistema o eliminar archivos. La plataforma Detection as Code de SOC Prime ofrece un enfoque de ciberdefensa colaborativa, uniendo a los especialistas en ciberseguridad más destacados del mundo para crear y compartir elementos de detección oportunos, para que las organizaciones siempre puedan estar un par de pasos adelante ante las amenazas emergentes.