Detectar Malware de Acesso Remoto Borat
Índice:
Uma nova ferramenta de acesso remoto complicada chamada Borat RAT foi encontrada por pesquisadores de cibersegurança. Assim como o nome sugere, é uma mistura louca de coisas que é difícil de compreender. Borat Trojan é uma coleção de módulos de malware que vem com um criador e certificado de servidor que inclui mais de 10 funções maliciosas.
Se o Borat entrar no sistema, ele é capaz de ganhar controle sobre o mouse e teclado, arquivos e recursos de rede, podendo gravar vídeo e áudio, roubar credenciais, realizar DDoS, ransomware, keylogging e muito mais. Além disso, Borat RAT ofusca dados para tornar sua presença imperceptível. Saiba mais sobre as soluções que propomos para detectar o malware mencionado acima.
Detecção de Malware de Acesso Remoto Borat
Você pode detectar geradores Borat (RAT) implantando a regra mais recente criada pelo nosso desenvolvedor Threat Bounty Furkan Celik.
Detecção de Trojan de Acesso Remoto Borat Facilitando Ataques de Ransomware (via file_event)
Esta regra é traduzida nos seguintes formatos SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender para Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
A regra está alinhada com a versão mais recente do framework MITRE ATT&CK® v.10, abordando a tática de Comando e Controle e a técnica de Transferência de Ferramentas de Entrada (T1105).
Como você sabe, os adversários não param depois de desenvolverem uma certa peça de malware e mesmo quando estão vendendo com sucesso em um mercado da dark web. Em vez disso, eles continuam renovando e aperfeiçoando suas criações em tempo real. Para evitar a situação de perder as atualizações mais recentes do Borat RAT, veja a lista de todas as detecções disponíveis para este ataque cibernético até agora. Você pode refinar seus critérios de pesquisa para atender às necessidades específicas na seção de Pesquisa Avançada.
Além disso, se você é um caçador de ameaças ou engenheiro de detecção, há a chance de ganhar reconhecimento e benefícios monetários ao se inscrever na nossa iniciativa de crowdsourcing. Crie suas próprias detecções personalizadas, envie-as para a plataforma e ajude a aumentar a resiliência cibernética global.
Ver Detecções Junte-se ao Threat Bounty
Análise Borat RAT
Como mencionamos acima, há uma multitude de recursos do Borat que os pesquisadores dividiram em algumas categorias principais:
- hVNC Remoto — desktop e navegadores ocultos
- Diversão Remota — monitor ligado/desligado, mostrar/ocultar barra de tarefas, relógio, bandeja, mouse, etc., habilitar/desabilitar Gerenciador de Tarefas, desabilitar UAC e mais
- Sistema Remoto — shell remoto, proxy reverso, editor de registro, gerenciador de arquivos, conexão TCP e mais
- Recursos de Stub — mudança do nome do cliente, desabilitar defensor, mudar nome do registro, anti-morte, habilitar key logger e mais
- Recuperação de Senha — Chrome e Edge
- RAT + HVNC — recursos de HVNC mais download e execução remotos
Para fácil navegação em meio a uma funcionalidade tão ampla, os atacantes criaram um painel especial onde um usuário malicioso pode escolher seus objetivos atuais e, se necessário, compilar um binário para DDoS e ransomware.
Borat RAT é potencialmente um malware altamente perigoso porque é uma mistura única de RAT, ransomware, ferramenta de DDoS e spyware, tudo em um único pacote. Ao instalar apenas um Trojan, os adversários são capazes de lançar uma gama completa de ataques. Eles podem escolher se querem sequestrar os controles do dispositivo, roubar informações, alterar configurações do sistema ou excluir arquivos. Plataforma Detection as Code da SOC Prime oferece uma abordagem colaborativa de defesa cibernética, unindo os especialistas em cibersegurança mais proeminentes do mundo para criar e compartilhar itens de detecção oportunos, para que as organizações possam sempre estar alguns passos à frente das ameaças emergentes.
