Εντοπισμός LimeRAT με το Cyber Radar

Τι είναι το LimeRAT:

Το LimeRAT είναι ένα κακόβουλο πρόγραμμα(malware) ανοικτού κώδικα για απομακρυσμένη πρόσβαση (RAT), το οποίο έχει σχεδιαστεί για να παρέχει στους επιτιθέμενους έλεγχο ενός μολυσμένου συστήματος. Είναι ένα ισχυρό και ευέλικτο RAT που στοχεύει σε λειτουργικά συστήματα Windows. Το LimeRAT μπορεί να λειτουργήσει ως ransomware, cryptocurrency miner, information stealer, keystroke logger και computer worm. Το κακόβουλο λογισμικό διανέμεται κυρίως μέσω τακτικών κοινωνικής μηχανικής, όπως επισυναπτόμενα αρχεία ηλεκτρονικού ταχυδρομείου, κακόβουλες διαφημίσεις στο διαδίκτυο και διανομή χακαρισμένου λογισμικού.

Συμπεριφορά και Δυνατότητες του LimeRAT:

Το κακόβουλο λογισμικό διαθέτει πολλων επικίνδυνων δυνατοτήτων. Αυτές περιλαμβάνουν την εξάπλωση μέσω USB δίσκων, την μόλυνση όλων των αρχείων και φακέλων USB, αποφυγή ανίχνευσης από τα antivirus προγράμματα και επίγνωση εικονικών μηχανών. Επιπλέον, το LimeRAT είναι ικανό να κλέβει πορτοφόλια κρυπτονομισμάτων και αποθηκευμένους κωδικούς πρόσβασης, να καταγράφει τα πλήκτρα που πατούνται, να δημιουργεί backdoor και πρόσβαση RDP, και να εκτελεί ransomware.

Οι κυβερνοεγκληματίες μπορούν να εξατομικεύσουν κάθε payload του LimeRAT με διάφορα χαρακτηριστικά. Αφού ένα θύμα εγκαταστήσει το payload στον υπολογιστή, αυτό ανακτά ευαίσθητες πληροφορίες σχετικά με τον χρήστη, το λειτουργικό σύστημα, την τοποθεσία, την CPU και άλλα σχετικά δεδομένα.

Ο LimeRAT στοχεύει σε όλες τις εκδόσεις του λειτουργικού συστήματος Windows και έχει προγραμματιστεί σε Visual Basic.NET. Οι αναλυτές ασφαλείας έχουν αναγνωρίσει το LimeRAT για την ικανότητά του να αποφεύγει την ανίχνευση ιών, τις λειτουργίες προστασίας από εικονικές μηχανές, minimal footprint και τα κρυπτογραφημένα κανάλια επικοινωνίας.

Ο LimeRAT διατηρεί πλεονασμό με την υποδομή ελέγχου και ελέγχου (C2) χρησιμοποιώντας πολλές θύρες επικοινωνίας για τα κανάλια επικοινωνίας. Για να εξασφαλίσει την ανθεκτικότητα, το LimeRAT C2 καταχράται την υπηρεσία pastie pastebin, ανακτώντας την πραγματική διεύθυνση C2 από έναν κρυπτογραφημένο κανάλι HTTPS. Η εφαρμογή pastebin επιτρέπει στους χρήστες να ανεβάζουν και να μοιράζονται κείμενα στο διαδίκτυο. Αυτή η τεχνική ανθεκτικότητας επιτρέπει στο LimeRAT να διατηρεί τη λειτουργικότητα του C2 με ένα επιπλέον επίπεδο προστασίας και προσαρμοστικότητας.

Οι ρυθμίσεις του LimeRAT που είναι γραμμένες στη γλώσσα .NET είναι κρυπτογραφημένες και ασαφείς. Χρησιμοποιεί έναν αλγόριθμο αποκρυπτογράφησης για την αποκωδικοποίηση της συμβολοσειράς που περιέχει τη διεύθυνση C2. Ο LimeRAT αντιγράφει ένα αντίγραφο του εαυτού του στον φάκελο C:\Users<USER_NAME>\AppData\Roaming με το όνομα αρχείου “checker netflix.exe” για να μεταμφιεστεί ως ένα νόμιμο αρχείο. Το <USER_NAME> αντικαθιστάται με το όνομα του χρήστη που εγκατέστησε το LimeRAT.

C:\Users\User\AppData\Roaming>dir /a

Volume in drive C is Windows

Volume Serial Number is CE1E-DB23

Directory of C:\Users\User\AppData\Roaming

06/04/2023 10:10 AM <DIR> .

11/13/2022 01:54 AM <DIR> ..

11/13/2022 01:55 AM <DIR> Adobe

06/04/2023 10:10 AM 210,432 checker netflix.exe

06/02/2023 04:49 AM <DIR> Microsoft

06/04/2023 09:04 AM <DIR> WinRAR

1 File(s) 210,432 bytes

5 Dir(s) 79,273,406,464 bytes free

Το LimeRAT δημιουργεί ένα κλειδί μητρώου (registry key) στο HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN για το δημιουργημένο αρχείο checker netflix.exe, προκειμένου να εξασφαλίσει την εκτέλεσή του κάθε φορά που επανεκκινείται ο υπολογιστής του θύματος.

Επίσης, δημιουργεί ένα μονοπάτι κλειδιού μητρώου (registry key path) HKEY_CURRENT_USER\SOFTWARE<MUTEX CREATED> που περιλαμβάνει τις ονομασίες των τιμών Flood, Rans-Status και USB, τύπου δεδομένων string, στο μητρώο (registry).

Flood: αναφέρεται στην κατάσταση μιας flooding επίθεσης (flooding attack).

Rans-Status: αναφέρεται στην κατάσταση του ransomware.

USB: αναφέρεται στην κατάσταση των μολυσμένων συσκευών USB.