Phân tích RAT

[HustReMw]

Chào các bạn! Trước đây chúng ta đã phân tích một số loại malware như: trojan, ransomware… Hôm nay chúng ta cùng nhau phân tích một loại malware khác là RAT.

​

RAT(Remote Access Trojan): Là một loại malware cho phép điều khiển máy tính từ xa, mà nó đã được cài đặt sẵn trên máy nạn nhân.

Để giúp các bạn có các nhìn trực quan hơn về loại malware RAT này, cũng như mức độ nghiêm trọng khi bị nhiễm RAT. Chúng ta cùng đi vào phân tích chi tiết một mẫu.

• RAT thường sử dụng socket để giao tiếp với server. Mỗi máy bị nhiễm RAT là một client, giữa server-client đã có một tập lệnh được định sẵn, ứng với mỗi lệnh sẽ là một hành vi nhất định. Client sẽ nhận lệnh từ server để thực hiện các hành vi.

​

Hình 1: RAT connect tới server
​

• Điều chúng ta quan tâm nhất là các lệnh của RAT và ứng với mỗi lệnh thì hành vi tương ứng là gì.
• Hình 2: Là tất cả các lệnh giữa server và RAT đã quy ước sẵn.
• Phạm vi bài viết không cho phép nên mình chỉ điểm qua một số lệnh quan trọng như:
  • “Shell” : Giao tiếp với cmd.exe.
  • “PsList”: Lấy tất cả các tiến trình đang chạy trên máy
  • “Http://”: Download file chỉ định từ server
  • ….

​

Hình 2: Tập lệnh của RAT​

• Hình 3 - Lệnh “shell” RAT sẽ CreateProcess cmd.exe và giao tiếp với nó thông qua pipe.

​

Hình 3: Giao tiếp cmd.exe thông qua pipe​

• Hình 4 – Lệnh “Http:// , RAT thực hiện dowmload file do server chỉ định.

Hình 4: RAT thực hiện downloader​

• Hình 5 – Lệnh “PsList”: Lấy tất cả các tiến trình đang chạy gửi về server

​

Hình 5: Lấy thông tin các tiến trình gửi về server​

Kết luận: Qua bài phân tích chúng ta đã thấy được mức độ nguy hiểm của RAT. Nó có thể ăn cắp bất cứ thứ gì trên máy tính, giám sát, điều khiển máy tính của nạn nhân.

Trên đây là bài phân tích của mình, bài viết còn nhiều thiếu sót, rất mong được sự góp ý của các bạn!