Rilevamento del Malware IceRAT: Acchiappami Se Ci Riesci
Indice:
IceRAT è uno strumento relativamente nuovo nell’arena del malware, essendo un ceppo unico per quanto riguarda le sue caratteristiche e tattiche di evasione senza precedenti. Notoriamente, la minaccia ha tassi di rilevamento molto bassi, agendo come un malware furtivo in grado di rubare dati sensibili e beni finanziari dalle macchine prese di mira.
Che cos’è il malware IceRAT?
Nonostante il suo nome, IceRAT è piĂą un backdoor che un trojan di accesso remoto. Le sue caratteristiche principali sono mirate a infezioni concatenate e al download di malware aggiuntivo, mentre la funzionalitĂ RAT tradizionale (ad es. esecuzione di comandi) manca. Dalla sua scoperta nel gennaio 2020, IceRAT ha infettato con successo le vittime con una vasta gamma di ladri di informazioni, cryptominers, keylogger e clippers. Notabilmente, il malware è distribuito principalmente tramite campagne di spam e “cracker” trojanizzati. Ad esempio, la prima versione rilevata di IceRAT ha infettato vittime tramite documenti dannosi contenenti software trojanizzato per il download del browser CryptoTab. L’host di IceRAT e il server C2 hxxp://malina1306.zzz(.)com.ua sono situati sul sito web in cirillico, il che potrebbe indicare che gli sviluppatori di IceRAT potrebbero essere di origine dell’Europa Orientale o Russa. Anche se IceRAT è incapace di fornire un controllo remoto completo al dispositivo preso di mira, dovrebbe essere considerato come un software altamente pericoloso in grado di causare danni gravi al dispositivo, perdite finanziarie e di dati, problemi di privacy così come furto di identitĂ .
Tattiche di evasione del backdoor IceRAT
IceRAT in profonditĂ analisi rivela che è il primo malware mai scritto in JPHP, un’implementazione PHP che gira su Java VM. Di conseguenza, IceRAT si basa su file .phb invece dei tradizionali file .class di Java. Tale peculiaritĂ permette alla minaccia di raggiungere un tasso di rilevamento estremamente basso su VirusTotal poichĂ© i file .php non sono generalmente supportati dai motori AV. Un’altra caratteristica insolita che contribuisce all’evasione di successo è l’architettura di IceRAT. L’implementazione è altamente frammentata ed evita di mettere tutta la funzionalitĂ in un file unico. In particolare, il malware IceRAT utilizza piĂą file incaricati di eseguire ciascuna funzione del segnale separatamente. Pertanto, nel caso in cui il componente downloader venga scoperto, potrebbe essere considerato benigno perchĂ© il contenuto dannoso manca.
Rilevamento dell’attacco IceRAT
Le tecniche di evasione uniche applicate per il malware IceRAT rendono un compito difficile rilevare le attivitĂ dannose in tempo. Il nostro sviluppatore del programma Threat Bounty Osman Demir ha fornito una regola di caccia alla minaccia per la difesa proattiva:
https://tdm.socprime.com/tdm/info/SkTSU9lyAHTA/jkLNiXYBmo5uvpkj4Mhr/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, ELK Stack, QRadar, Splunk, Sumo Logic, Humio, Graylog, LogPoint, RSA NetWitness
MITRE ATT&CK:
Tattiche: Scoperta, Persistenza, Esecuzione
Tecnica: Scoperta dei processi (T1057), Chiavi di registro run/Cartella di avvio (T1060), Strumentazione di gestione di Windows (T1047)
Iscriviti al Threat Detection Marketplace per accedere a piĂą contenuti di difesa proattiva. Pronto a contribuire alle iniziative di caccia alle minacce? Unisciti al nostro programma Threat Bounty per arricchire la libreria di contenuti SOC e condividerla con la comunitĂ del Threat Detection Marketplace.
