Анализ настройка и использование Xeno Rat

Xeno rat

Если вы часто посещаете сайты по информационной безопасности, то, вероятно, заметили новости об опасном Xeno Rat – бесплатный и многофункциональный RAT (рат или ратник), который можно скачать с GitHub. Он обладает функциями, которые выделяют его среди конкурентов, такими как HVNC, SOCKS5 обратный прокси и другие.

Еще по теме: Как написать троян на Python

Я скачал этот инструмент и изучил его, о чем и расскажу в этой статье.

Статья в образовательных целях для обучения этичных хакеров. При написании статьи использовались личные устройства автора. Использование Xeno Rat для несанкционированного доступа к чужим компьютерам без письменного разрешения является незаконным. Ни редакция spy-soft.net, ни автор не несут ответс­твен­ности за ваши действия.

Создания трояна с помощью Xeno Rat

Сначала скачиваем последнюю версию со страницы релизов на GitHub. Затем распаковываем и запускаем файл xeno rat server.exe.

Xeno Rat скачать

В окне сервера на вкладке Builder можно предварительно настроить и создать троян.

ПО с открытым исходным кодом, но если вы новичок, то лучше запускать на виртуалке. (см. использование VirtualBox для проверки вирусов).

Когда настройки будут завершены, нажмите Build.

Xeno Rat создание трояна

Как видно на вкладке Builder, есть множество вариантов настройки исполняемого файла, включая задержки при выполнении, добавление в автозапуск и многое другое.

Стандартные настройки создадут троян с адресом 127.0.0.1 (localhost) для C2 сервера, т.е. можно сразу перейти к тестированию.

Перед запуском трояна необходимо настроить Listener (слушатель, который будет ожидать подключение целевого компьютера). Переходим на вкладку Listener, вводим порт 4444 (или другой порт, который вы установили при создании трояна), и нажимаем Add. Теперь можно запустить ратник.

Xeno Rat использование

После запуска на вкладке Clients появится новый клиент (инфицированный компьютер). Здесь представлена информация о цели (IP, ОС, антивирус и даже текущее окно, которое использует жертва).

Использование Xeno Rat

Давайте рассмотрим несколько интересных функций ратника.

Кейлоггер — сохраняет и группирует нажатия клавиш, позволяя видеть, что жертва вводила в каждом отдельном приложении. Это делает просмотр нажатий клавиш гораздо более организованным по сравнению с традиционными кейлоггерами.

Xeno Rat Кейлоггер

Обход UAC — еще одна полезная функция. Предоставляет три метода обхода UAC (Cmstp, Windir + Очистка диска и Fodhelper). После получения доступа администратора появится новая запись в вкладке клиентов, где в столбце администратор будет указано True. Она позволяет выполнять задачи с привилегиями администратора.

Xeno Rat Обход UAC

HVNC (Скрытые виртуальные сети) — пожалуй самая впечатляющая функция ратника. Позволяет использовать компьютер одновременно с жертвой. HVNC позволяет открывать explorer для просмотра каталогов жертвы с использованием графического интерфейса Windows и даже клонировать и открывать браузер жертвы.

Xeno Rat HVNC Скрытые виртуальные сети

Также есть возможность использовать CMD и PowerShell. Полный список функций можете посмотреть в репозитории https://github.com/moom825/xeno-rat.

Статический анализ трояна

Для начала анализа открываем троян в PEStudio.

Тип файла — 32-битный PE (portable executable), как указано первыми двумя байтами MZ в секции .text.

Язык — C# (.NET Framework).

Временная метка компилятора — Sat Apr 09 13:44:02 2067 | UTC.

SHA256:

Основная вкладка PEStudio
Основная вкладка PEStudio

Imphash. Коротко поговорим об Imphash для этого образца и почему мы не будем его использовать. Если вы попытаетесь найти его, то найдете результаты от других семейств вредоносных программ. Это связано с тем, что компилятор большинства .NET-исполняемых файлов устанавливает точку входа программы на функцию _CorExeMain из библиотеки mscoree. Это происходит потому, что _CorExeMain инициализирует CLR (Common Language Runtime), который загружает остальной код PE, включая оставшиеся библиотеки, во время выполнения. Поэтому мы не можем полагаться на Imphash для образца, основанного на .NET framework. Можно увидеть визуальное представление Imphash, посмотрев на IAT (таблицу адресов импорта) нашего образца в CFF Explorer. Как вы можете видеть ниже, импхэш для этого PE просто .NET runtime execution engine, поэтому он не подходит для обнаружения.

Визуальное представление Imphash: F34D5F2D4577ED6D9CEEC516C1F5A744:mscoree._coreexemain
Визуальное представление Imphash F34D5F2D4577ED6D9CEEC516C1F5A744:mscoree._coreexemain

Попробуем использовать TypeRefHash для .NET PE.

TypeRef Hash:

GUID:

TypeLibID:

Строки (некоторые интересные). Мой образец не был обфусцирован, и секция строк PEStudio содержит множество полезной информации. Она многое говорит о том, на что способен исполняемый файл. Я перечислю несколько строк, которые привлекли мое внимание:

Вышеуказанная строка закодирована в base64 и означает:

Ратник использует эту команду в CMD для самоудаления.

Эта строка привлекла мое внимание. Я не уверен, насколько полезной она может быть в качестве IOC, но я выяснил, что это тестовый вектор SHA256 хеш, найденный в файле libtomcrypt hash_tv.txt.

Данный хеш SHA256 также встречался в нескольких образцах, но я не смог найти информацию о том, что это.

Xeno_rat_nd8912d — это имя которое по умолчанию присваивает мьютексу; если злоумышленник оставит его без изменений, это может стать отличным IOC.

IOC (Indicators of Compromise) в информационной безопасности — это данные, которые указывают на компрометацию системы.

Библиотеки:

  • mscoree.dll (по умолчанию в большинстве .NET приложений)
  • ntdll.dll
  • kernel32.dll
  • msvcrt.dll
  • shell32.dll
  • user32.dll
  • User32.dll

Похоже, что автор намеренно импортировал библиотеку User32.dll в PE. Она вызывается в файле Utils.cs, для использования функции GetLastInputInfo.

Импортированные библиотеки Xeno Rat
Импортированные библиотеки

Многие из этих импортов делают возможными функции HVNC (ознакомьтесь с файлом Hvnc.cs в репозитории, чтобы узнать больше).

Подозрительные импорты
Подозрительные импорты

Динамический анализ трояна

Я не вижу необходимости в проведении динамического анализа на данном этапе, так как удовлетворен информацией, полученной во время статического анализа. В конце концов, я анализирую мои собственные образцы, работающие через localhost, поэтому нет смысла искать C2.

Заключение

Если вы использовали Dark Comet, то, возможно, заметили некоторые сходства между этими двумя. С учетом того, что разработчик активно выпускает обновления и поддерживает актуальность Xeno Rat, можно ожидать, что ратник будет использоваться злоумышленниками еще долгое время.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий