Τι είναι το LimeRAT:
Το LimeRAT είναι ένα κακόβουλο πρόγραμμα(malware) ανοικτού κώδικα για απομακρυσμένη πρόσβαση (RAT), το οποίο έχει σχεδιαστεί για να παρέχει στους επιτιθέμενους έλεγχο ενός μολυσμένου συστήματος. Είναι ένα ισχυρό και ευέλικτο RAT που στοχεύει σε λειτουργικά συστήματα Windows. Το LimeRAT μπορεί να λειτουργήσει ως ransomware, cryptocurrency miner, information stealer, keystroke logger και computer worm. Το κακόβουλο λογισμικό διανέμεται κυρίως μέσω τακτικών κοινωνικής μηχανικής, όπως επισυναπτόμενα αρχεία ηλεκτρονικού ταχυδρομείου, κακόβουλες διαφημίσεις στο διαδίκτυο και διανομή χακαρισμένου λογισμικού.
Συμπεριφορά και Δυνατότητες του LimeRAT:
Το κακόβουλο λογισμικό διαθέτει πολλων επικίνδυνων δυνατοτήτων. Αυτές περιλαμβάνουν την εξάπλωση μέσω USB δίσκων, την μόλυνση όλων των αρχείων και φακέλων USB, αποφυγή ανίχνευσης από τα antivirus προγράμματα και επίγνωση εικονικών μηχανών. Επιπλέον, το LimeRAT είναι ικανό να κλέβει πορτοφόλια κρυπτονομισμάτων και αποθηκευμένους κωδικούς πρόσβασης, να καταγράφει τα πλήκτρα που πατούνται, να δημιουργεί backdoor και πρόσβαση RDP, και να εκτελεί ransomware.
Οι κυβερνοεγκληματίες μπορούν να εξατομικεύσουν κάθε payload του LimeRAT με διάφορα χαρακτηριστικά. Αφού ένα θύμα εγκαταστήσει το payload στον υπολογιστή, αυτό ανακτά ευαίσθητες πληροφορίες σχετικά με τον χρήστη, το λειτουργικό σύστημα, την τοποθεσία, την CPU και άλλα σχετικά δεδομένα.
Ο LimeRAT στοχεύει σε όλες τις εκδόσεις του λειτουργικού συστήματος Windows και έχει προγραμματιστεί σε Visual Basic.NET. Οι αναλυτές ασφαλείας έχουν αναγνωρίσει το LimeRAT για την ικανότητά του να αποφεύγει την ανίχνευση ιών, τις λειτουργίες προστασίας από εικονικές μηχανές, minimal footprint και τα κρυπτογραφημένα κανάλια επικοινωνίας.
Ο LimeRAT διατηρεί πλεονασμό με την υποδομή ελέγχου και ελέγχου (C2) χρησιμοποιώντας πολλές θύρες επικοινωνίας για τα κανάλια επικοινωνίας. Για να εξασφαλίσει την ανθεκτικότητα, το LimeRAT C2 καταχράται την υπηρεσία pastie pastebin, ανακτώντας την πραγματική διεύθυνση C2 από έναν κρυπτογραφημένο κανάλι HTTPS. Η εφαρμογή pastebin επιτρέπει στους χρήστες να ανεβάζουν και να μοιράζονται κείμενα στο διαδίκτυο. Αυτή η τεχνική ανθεκτικότητας επιτρέπει στο LimeRAT να διατηρεί τη λειτουργικότητα του C2 με ένα επιπλέον επίπεδο προστασίας και προσαρμοστικότητας.
Οι ρυθμίσεις του LimeRAT που είναι γραμμένες στη γλώσσα .NET είναι κρυπτογραφημένες και ασαφείς. Χρησιμοποιεί έναν αλγόριθμο αποκρυπτογράφησης για την αποκωδικοποίηση της συμβολοσειράς που περιέχει τη διεύθυνση C2. Ο LimeRAT αντιγράφει ένα αντίγραφο του εαυτού του στον φάκελο C:\Users<USER_NAME>\AppData\Roaming με το όνομα αρχείου “checker netflix.exe” για να μεταμφιεστεί ως ένα νόμιμο αρχείο. Το <USER_NAME> αντικαθιστάται με το όνομα του χρήστη που εγκατέστησε το LimeRAT.
C:\Users\User\AppData\Roaming>dir /a
Volume in drive C is Windows
Volume Serial Number is CE1E-DB23
Directory of C:\Users\User\AppData\Roaming
06/04/2023 10:10 AM <DIR> .
11/13/2022 01:54 AM <DIR> ..
11/13/2022 01:55 AM <DIR> Adobe
06/04/2023 10:10 AM 210,432 checker netflix.exe
06/02/2023 04:49 AM <DIR> Microsoft
06/04/2023 09:04 AM <DIR> WinRAR
1 File(s) 210,432 bytes
5 Dir(s) 79,273,406,464 bytes free
Το LimeRAT δημιουργεί ένα κλειδί μητρώου (registry key) στο HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN για το δημιουργημένο αρχείο checker netflix.exe, προκειμένου να εξασφαλίσει την εκτέλεσή του κάθε φορά που επανεκκινείται ο υπολογιστής του θύματος.
Επίσης, δημιουργεί ένα μονοπάτι κλειδιού μητρώου (registry key path) HKEY_CURRENT_USER\SOFTWARE<MUTEX CREATED> που περιλαμβάνει τις ονομασίες των τιμών Flood, Rans-Status και USB, τύπου δεδομένων string, στο μητρώο (registry).
Flood: αναφέρεται στην κατάσταση μιας flooding επίθεσης (flooding attack).
Rans-Status: αναφέρεται στην κατάσταση του ransomware.
USB: αναφέρεται στην κατάσταση των μολυσμένων συσκευών USB.
Συμπεράσματα και Αναγκαιότητα της Κυβερνοασφάλειας
Η ανάλυση του LimeRAT αναδεικνύει τη σοβαρότητα των σύγχρονων κυβερνοαπειλών και τη συνεχή εξέλιξη των τεχνικών που χρησιμοποιούν οι κυβερνοεγκληματίες για να επιτεθούν σε επιχειρήσεις. Η εξαιρετική πολυμορφία και ανθεκτικότητα τέτοιων malware, όπως το LimeRAT, καθιστά απαραίτητη την εφαρμογή προηγμένων λύσεων κυβερνοασφάλειας.
Το Cyber Radar προσφέρει την ιδανική λύση για την προστασία της επιχείρησής σας από απειλές όπως το LimeRAT. Με δυνατότητες όπως εντοπισμός κακόβουλων ενεργειών σε πραγματικό χρόνο, ειδοποιήσεις για άμεση ανταπόκριση και αναλυτικά στοιχεία για την αντιμετώπιση των περιστατικών, εξασφαλίζει ένα επίπεδο ασφάλειας απαραίτητο για τις σύγχρονες επιχειρηματικές ανάγκες.
Μην αφήσετε την ασφάλεια της επιχείρησής σας στην τύχη.
Επικοινωνήστε μαζί μας σήμερα για να δείτε πώς το Cyber Radar μπορεί να προστατεύσει τα δεδομένα και τη φήμη της εταιρείας σας. Μια επένδυση στην ασφάλεια της επιχείρησής σας είναι μια επένδυση για το μέλλον της. Ανακαλύψτε περισσότερα ή ζητήστε ένα DEMO από εδώ.