Rilevamento del Malware IceRAT: Acchiappami Se Ci Riesci
Indice:
IceRAT è uno strumento relativamente nuovo nell’arena del malware, essendo un ceppo unico per quanto riguarda le sue caratteristiche e tattiche di evasione senza precedenti. Notoriamente, la minaccia ha tassi di rilevamento molto bassi, agendo come un malware furtivo in grado di rubare dati sensibili e beni finanziari dalle macchine prese di mira.
Che cos’è il malware IceRAT?
Nonostante il suo nome, IceRAT è più un backdoor che un trojan di accesso remoto. Le sue caratteristiche principali sono mirate a infezioni concatenate e al download di malware aggiuntivo, mentre la funzionalità RAT tradizionale (ad es. esecuzione di comandi) manca. Dalla sua scoperta nel gennaio 2020, IceRAT ha infettato con successo le vittime con una vasta gamma di ladri di informazioni, cryptominers, keylogger e clippers. Notabilmente, il malware è distribuito principalmente tramite campagne di spam e “cracker” trojanizzati. Ad esempio, la prima versione rilevata di IceRAT ha infettato vittime tramite documenti dannosi contenenti software trojanizzato per il download del browser CryptoTab. L’host di IceRAT e il server C2 hxxp://malina1306.zzz(.)com.ua sono situati sul sito web in cirillico, il che potrebbe indicare che gli sviluppatori di IceRAT potrebbero essere di origine dell’Europa Orientale o Russa. Anche se IceRAT è incapace di fornire un controllo remoto completo al dispositivo preso di mira, dovrebbe essere considerato come un software altamente pericoloso in grado di causare danni gravi al dispositivo, perdite finanziarie e di dati, problemi di privacy così come furto di identità.
Tattiche di evasione del backdoor IceRAT
IceRAT in profondità analisi rivela che è il primo malware mai scritto in JPHP, un’implementazione PHP che gira su Java VM. Di conseguenza, IceRAT si basa su file .phb invece dei tradizionali file .class di Java. Tale peculiarità permette alla minaccia di raggiungere un tasso di rilevamento estremamente basso su VirusTotal poiché i file .php non sono generalmente supportati dai motori AV. Un’altra caratteristica insolita che contribuisce all’evasione di successo è l’architettura di IceRAT. L’implementazione è altamente frammentata ed evita di mettere tutta la funzionalità in un file unico. In particolare, il malware IceRAT utilizza più file incaricati di eseguire ciascuna funzione del segnale separatamente. Pertanto, nel caso in cui il componente downloader venga scoperto, potrebbe essere considerato benigno perché il contenuto dannoso manca.
Rilevamento dell’attacco IceRAT
Le tecniche di evasione uniche applicate per il malware IceRAT rendono un compito difficile rilevare le attività dannose in tempo. Il nostro sviluppatore del programma Threat Bounty Osman Demir ha fornito una regola di caccia alla minaccia per la difesa proattiva:
https://tdm.socprime.com/tdm/info/SkTSU9lyAHTA/jkLNiXYBmo5uvpkj4Mhr/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, ELK Stack, QRadar, Splunk, Sumo Logic, Humio, Graylog, LogPoint, RSA NetWitness
MITRE ATT&CK:
Tattiche: Scoperta, Persistenza, Esecuzione
Tecnica: Scoperta dei processi (T1057), Chiavi di registro run/Cartella di avvio (T1060), Strumentazione di gestione di Windows (T1047)
Iscriviti al Threat Detection Marketplace per accedere a più contenuti di difesa proattiva. Pronto a contribuire alle iniziative di caccia alle minacce? Unisciti al nostro programma Threat Bounty per arricchire la libreria di contenuti SOC e condividerla con la comunità del Threat Detection Marketplace.
