分類
Information Security

IceRAT 惡意軟件

什麼是 IceRAT 惡意軟件?

儘管它的名字,IceRAT 與其說是遠程訪問木馬,不如說是一個後門。它的主要功能是針對連鎖感染和額外的惡意軟件下載,而缺少傳統的 RAT 功能(例如命令執行)。自 2020 年 1 月被發現以來,IceRAT 成功地用大量信息竊取程序、密碼挖掘程序、鍵盤記錄程序和剪報程序感染了受害者。值得注意的是,惡意軟件主要通過垃圾郵件活動和木馬化“破解程序”進行傳播。例如,第一個檢測到的 IceRAT 版本通過包含用於 CryptoTab 瀏覽器的木馬軟件下載的惡意文件感染受害者。IceRAT 的主機和 C2 服務器 hxxp://malina1306.zzz(.)com.ua 位於西里爾文網站上,這可能表明 IceRAT 開發人員可能來自東歐或俄羅斯。

IceRAT 後門規避策略

IceRAT 的深入分析表明,它是有史以來第一個用 JPHP 編寫的惡意軟件,JPHP 是一種運行在 Java VM 上的 PHP 實現。因此,IceRAT 依賴於 .phb 文件而不是傳統的 Java .class 文件。由於 .php 文件通常不受 AV 引擎支持,因此這種特性允許威脅在 VirusTotal 上達到極低的檢測率。另一個有助於成功規避的不常見功能是 IceRAT 的架構。該實現高度分散,避免將所有功能放在一個文件中。特別是,IceRAT 惡意軟件使用多個文件分別執行每個信號功能。因此,萬一下載器組件被發現,它可能被認為是良性的,因為缺少惡意內容。

資料來源:https://socprime.com/blog/icerat-malware-detection-catch-me-if-you-can/

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。