Détection du Malware IceRAT : Attrape-moi si tu peux
Table des matières :
IceRAT est un outil relativement nouveau dans l’arène malveillante, étant une souche unique en termes de fonctionnalités et de tactiques d’évasion sans précédent. Remarquablement, la menace a des taux de détection très bas, agissant comme un malware furtif capable de voler des données sensibles et des actifs financiers des machines ciblées.
Qu’est-ce que le malware IceRAT ?
Malgré son nom, IceRAT est plutôt une porte dérobée qu’un cheval de Troie d’accès à distance. Ses principales fonctionnalités visent des infections en chaîne et le téléchargement de malwares supplémentaires, tandis que les fonctionnalités RAT traditionnelles (par exemple, l’exécution de commandes) sont absentes. Depuis sa découverte en janvier 2020, IceRAT a réussi à infecter des victimes avec un vaste éventail de voleurs d’informations, de mineurs de cryptomonnaie, de keyloggers et de clippers. Notamment, le malware est principalement distribué via des campagnes de spam et des « crackers » trojanisés. Par exemple, la première version détectée de IceRAT a infecté des victimes via des documents malveillants contenant un téléchargement de logiciel trojanisé pour le navigateur CryptoTab. L’hôte et le serveur C2 de IceRAT hxxp://malina1306.zzz(.)com.ua sont situés sur un site en cyrillique, ce qui pourrait indiquer que les développeurs d’IceRAT sont d’origine européenne de l’Est ou russe. Bien qu’IceRAT soit incapable de fournir un contrôle à distance complet à l’appareil ciblé, il doit être considéré comme un logiciel extrêmement dangereux capable d’infliger de graves dommages à l’appareil, des pertes financières et de données, des problèmes de confidentialité ainsi que le vol d’identité.
Tactiques d’évasion de la porte dérobée IceRAT
IceRAT en profondeur l’analyse révèle qu’il s’agit du premier malware jamais écrit en JPHP, une implémentation PHP fonctionnant sur la JVM Java. Par conséquent, IceRAT repose sur des fichiers .phb au lieu des traditionnels .class Java. Une telle particularité permet à la menace d’atteindre un taux de détection extrêmement bas sur VirusTotal car les fichiers .php ne sont généralement pas pris en charge par les moteurs AV. Une autre caractéristique inhabituelle qui contribue à l’évasion réussie est l’architecture de IceRAT. L’implémentation est hautement fragmentée et évite de mettre toute la fonctionnalité dans un seul fichier. En particulier, le malware IceRAT utilise plusieurs fichiers chargés d’exécuter chaque fonction séparément. Par conséquent, dans le cas où le composant téléchargeur est découvert, il pourrait être considéré comme bénin car le contenu malveillant est absent.
Détection d’attaque IceRAT
Les techniques d’évasion uniques appliquées pour le malware IceRAT en font une tâche délicate pour détecter l’activité malveillante à temps. Le développeur de notre programme Threat Bounty Osman Demir a fourni une règle de chasse aux menaces pour une défense proactive :
https://tdm.socprime.com/tdm/info/SkTSU9lyAHTA/jkLNiXYBmo5uvpkj4Mhr/
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, ELK Stack, QRadar, Splunk, Sumo Logic, Humio, Graylog, LogPoint, RSA NetWitness
MITRE ATT&CK :
Tactiques : Découverte, Persistance, Exécution
Technique : Découverte de processus (T1057), Clés de registre d’exécution / Dossier de démarrage (T1060), Instrumentation de gestion Windows (T1047)
Inscrivez-vous à la Threat Detection Marketplace pour accéder à plus de contenu de défense proactive. Prêt à contribuer aux initiatives de chasse aux menaces ? Rejoignez notre programme Threat Bounty pour enrichir la bibliothèque de contenu SOC et la partager avec la communauté du Threat Detection Marketplace.
