Doctor Web 的专家发现了著名TgRat木马病毒的 Linux 变种,该病毒用于针对性计算机攻击。该木马病毒的一个显著特点是能够由 Telegram 机器人进行管理。
Positive Technologies 专家安全中心 (PT ESC) 在一次检查中发现了一个利用 Telegram 聊天服务控制后门的黑客工具包。攻击者除了使用 Impacket 和 Mimikatz 等知名恶意软件外,还使用网络流量隧道工具进入网络并在其中横向移动。
2022 年发现了 TgRat 木马病毒,该病毒最初是为 Windows 构建的。这是一个小型恶意程序,用于从特定被黑系统中提取数据。不久前,Doctor Web的恶意软件专家发现了它的 Linux 兼容版本。该病毒被归类为远程访问木马 (RAT)。
Dr. Web 实验室接到一家托管公司的调查信息安全问题的请求。在其中一个客户的服务器上,Dr. Web 防病毒软件发现了一个可疑文件。它被发现是一个木马植入程序 — 一种旨在用恶意软件感染目标机器的软件。Linux.BackDoor 就是由这个植入程序卸载的。TgRat.2 木马进入网络。
间谍软件遵循的机制
该木马同样被设计为针对某些机器;启动时,它会将机器名称的哈希值与木马主体内编码的字符串进行比较。如果值不相同,TgRat 程序将结束。如果木马成功启动,它会建立网络连接并采用一种特殊的方法与其控制服务器(Telegram 机器人)进行通信。
TgRat github 仓库
https://github.com/infermiere/tg-rat.git拥有帮助您使用机器人的必要资产。以下是它提供的功能
TG大鼠
TgRat Dropper 操作
投放器的初始步骤包括验证启动时提供的输入(参数),这会影响中间的持久性阶段。如果有输入参数,则Add_payload(以执行此操作的方法命名)是第一阶段。如果没有输入参数,则会发生初始化和持久性。因此投放器。
-
使用“-install=false”选项在启动时自行安装(图1)。
-
通过解析路径和正在运行的进程的名称,更改路径,然后添加代码中包含的payload名称,创建包含payload的文件名。
-
使用 CTR 模式的 AES 算法解密程序主体中存在的二进制数据(初始化向量包含在程序主体中)。
-
给予有效载荷控制权,并将解密的数据写入文件。
TG大鼠
TG大鼠
在分析了包含函数地址及其名称的结构的初始化代码后,确定病毒执行的指令类型就简单多了。这些命令包括:
-
获取受感染计算机的详细信息
-
绑定到某个 Telegram 对话;连接失败消息
-
自我毁灭(消除)
-
毁灭你自己(摆脱)
-
自动更新 Shell 首次亮相
-
在 shell 中运行脚本并将结果存储在文件中
-
开始程序
-
在一天中的特定时间休息。
-
机器人重启
-
下载文件
-
拍摄照片
利用该工具
Telegram 机器人与控制该木马的 Messenger 上的一个封闭群组相关联。通过 Messenger,攻击者可以指示该木马完成多项任务,包括从受感染的机器下载数据、截屏、远程执行指令或通过附件下载文件。
与 Windows 版本相比,该木马程序的代码使用 RSA 密码加密,指令使用 Bash 解释器执行,从而允许在一条消息中执行整个脚本。由于该木马程序的每个实例都有唯一的标识符,因此攻击者可以将所有机器人连接到一个聊天室并向每个机器人发出命令。
尽管木马和控制服务器选择的连接方法是独一无二的,但通过仔细检查网络流量,可以识别出这种攻击。与 Telegram 服务器的数据交换对于用户 PC 来说很常见,但对于连接到本地网络的服务器来说却并非如此。
https://hackingblogs.com/tgrat-spyware-discovered-for-linux-robust-and-advance-2024-version-of-tgrat/
原文始发于微信公众号(Ots安全):发现适用于 Linux 的 TgRat 间谍软件:tgRat 的强大且先进的 2024 版本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论