- ข้อความ
- ประวัติศาสตร์
Malware Analysis - Dark Comet RATA
Malware Analysis - Dark Comet RAT
A Remote Administration Tool (otherwise known as a RAT) is a piece of software designed to provide full access to remote clients. Capabilities often include keystroke logging, file system access and remote control; including control of devices such as microphones and webcams. RATs are designed as legitimate administrative tools, yet due to their extensive capabilities are often seen used with malicious intent.
When a RAT is identified as the payload in a malicious infection, typical malware analysis will resolve all the capabilities being provided to the attacker. However, the attacker may not be using all the capabilities provided; they may only be using the keylogging facility, or using the backdoor to install further tools onto the infected host. To make a full impact assessment, this detail is necessary and may only be available through analysis of the commands sent to the host by the attacker. However, access to the command and control traffic is limited as most RATs implement encryption or obfuscation to hide data sent over the network.
In this blog post I will take a look at a RAT called Dark Comet. I will run through the capabilities provided by the tool, examine the associated network traffic, identify the encryption algorithm and show how the key can be identified with a little analysis of an infected host.
A Remote Administration Tool (otherwise known as a RAT) is a piece of software designed to provide full access to remote clients. Capabilities often include keystroke logging, file system access and remote control; including control of devices such as microphones and webcams. RATs are designed as legitimate administrative tools, yet due to their extensive capabilities are often seen used with malicious intent.
When a RAT is identified as the payload in a malicious infection, typical malware analysis will resolve all the capabilities being provided to the attacker. However, the attacker may not be using all the capabilities provided; they may only be using the keylogging facility, or using the backdoor to install further tools onto the infected host. To make a full impact assessment, this detail is necessary and may only be available through analysis of the commands sent to the host by the attacker. However, access to the command and control traffic is limited as most RATs implement encryption or obfuscation to hide data sent over the network.
In this blog post I will take a look at a RAT called Dark Comet. I will run through the capabilities provided by the tool, examine the associated network traffic, identify the encryption algorithm and show how the key can be identified with a little analysis of an infected host.
0/5000
การวิเคราะห์มัลแวร์ - ดาวหางมืดหนูเครื่องมือการจัดการระยะไกล (หรือที่เรียกว่าหนู) เป็นชิ้นส่วนของซอฟต์แวร์ที่ออกแบบมาเพื่อให้เข้าถึงแบบเต็มไปยังไคลเอนต์ระยะไกล ความสามารถมักจะมีบันทึกการกดแป้นพิมพ์ การเข้าถึงระบบแฟ้ม และ รีโมท รวมทั้งควบคุมอุปกรณ์ต่าง ๆ เช่นไมโครโฟนและเว็บแคม หนูถูกออกแบบมาเป็นเครื่องมือการจัดการที่ถูกต้อง แต่เนื่องจากความสามารถของตนอย่างละเอียดมักจะเห็นใช้ ด้วยเจตนาร้ายเมื่อหนูมีระบุเป็นสิ่งที่เตรียมไว้ในการติดเชื้อที่เป็นอันตราย การวิเคราะห์มัลแวร์ทั่วไปจะแก้ไขความสามารถทั้งหมดที่ให้ไว้กับผู้โจมตี อย่างไรก็ตาม ผู้โจมตีอาจไม่ได้ใช้ความสามารถทั้งหมดที่ให้ พวกเขาอาจเพียงใช้สิ่งอำนวยความสะดวก keylogging หรือใช้แบ็คติดตั้งเพิ่มเติมเครื่องมือบนโฮสต์ติดเชื้อ เพื่อให้มีการประเมินผลกระทบทั้งหมด รายละเอียดนี้เป็นสิ่งจำเป็น และอาจต้องมีผ่านการวิเคราะห์คำสั่งที่ส่งไปยังโฮสต์โจมตี อย่างไรก็ตาม ถึงการสั่งและควบคุมจราจรเป็นจำกัดเป็นส่วนใหญ่หนูใช้เข้ารหัสหรือการ obfuscation ซ่อนข้อมูลที่ส่งผ่านเครือข่ายในบล็อกโพสต์นี้ ผมจะดูที่หนูเรียกว่าดาวหางมืด ฉันจะเรียกใช้ผ่านความสามารถโดยเครื่องมือ ตรวจสอบการเชื่อมโยงเครือข่าย ระบุอัลกอริทึมการเข้ารหัสลับ และแสดงว่าสามารถระบุคีย์กับวิเคราะห์เล็กน้อยของโฮสต์ติดเชื้อ
การแปล กรุณารอสักครู่..
การวิเคราะห์มัลแวร์ - เข้มดาวหางหนูเครื่องมือการจัดการระยะไกล (หรือที่เรียกว่าหนู) เป็นชิ้นส่วนของซอฟต์แวร์ที่ออกแบบมาเพื่อให้เข้าถึงลูกค้าระยะไกล ความสามารถมักจะมีการบันทึกการกดแป้นพิมพ์, การเข้าถึงระบบไฟล์และการควบคุมระยะไกล รวมถึงการควบคุมของอุปกรณ์ต่าง ๆ เช่นไมโครโฟนและเว็บแคม หนูได้รับการออกแบบเป็นเครื่องมือในการบริหารจัดการที่ถูกต้อง แต่เนื่องจากความสามารถที่กว้างขวางของพวกเขามักจะเห็นการใช้ที่มีเจตนาร้าย. เมื่อหนูถูกระบุว่าเป็นส่วนของข้อมูลในการติดเชื้อที่เป็นอันตรายการวิเคราะห์มัลแวร์โดยทั่วไปจะแก้ความสามารถทั้งหมดที่มีการจัดเตรียมไว้เพื่อโจมตี อย่างไรก็ตามผู้โจมตีอาจจะไม่ใช้ความสามารถทั้งหมดที่มีให้บริการ; พวกเขาอาจจะมีการใช้สถานที่บันทึกการกดคีย์บอร์ดหรือใช้ลับๆการติดตั้งเครื่องมือเพิ่มเติมบนโฮสต์ที่ติดเชื้อ เพื่อให้การประเมินผลกระทบเต็มรูปแบบรายละเอียดนี้เป็นสิ่งจำเป็นและอาจจะใช้ได้เฉพาะผ่านการวิเคราะห์ของคำสั่งที่ส่งไปยังโฮสต์ที่จากการโจมตี อย่างไรก็ตามการเข้าถึงคำสั่งและการจราจรการควบคุมจะถูก จำกัด เป็นหนูส่วนใหญ่ใช้การเข้ารหัสหรือสับสนในการซ่อนข้อมูลที่ส่งผ่านเครือข่าย. โพสต์ในบล็อกนี้ผมจะดูที่หนูเรียกว่าดาวหางมืด ฉันจะทำงานผ่านความสามารถในการให้บริการโดยเครื่องมือตรวจสอบเครือข่ายการจราจรที่เกี่ยวข้องที่ระบุขั้นตอนวิธีการเข้ารหัสและแสดงวิธีการที่สำคัญสามารถระบุได้ด้วยการวิเคราะห์เล็ก ๆ น้อย ๆ ของโฮสต์ที่ติดเชื้อ
การแปล กรุณารอสักครู่..
การวิเคราะห์ - ดาวหางมืด
หนูมัลแวร์เครื่องมือการบริหารระยะไกล ( ที่รู้จักกันเป็นอย่างอื่นหนู ) เป็นชิ้นส่วนของซอฟต์แวร์ที่ออกแบบมาเพื่อให้สามารถเข้าถึงลูกค้าระยะไกล ความสามารถมักจะรวม keystroke logging , การเข้าถึงระบบแฟ้มและการควบคุมระยะไกล รวมถึงการควบคุมของอุปกรณ์เช่นไมโครโฟนและเว็บแคม หนูจะถูกออกแบบมาเป็นเครื่องมือการบริหารที่ถูกต้องแต่เนื่องจากความสามารถของพวกเขาอย่างละเอียดจะเห็นมักจะใช้กับเจตนาร้าย
เมื่อหนูตัวหนึ่งถูกระบุว่าเป็นหลักในการติดเชื้อที่เป็นอันตรายการวิเคราะห์มัลแวร์โดยทั่วไปจะแก้ไขความสามารถทั้งหมดถูกให้กับผู้ที่ทำร้าย อย่างไรก็ตาม คนร้ายอาจจะใช้ความสามารถทั้งหมดที่มี พวกเขาอาจจะใช้ keylogging สิ่งอำนวยความสะดวก ,หรือการใช้เครื่องมือเพิ่มเติมเพื่อติดตั้งลับๆบนโฮสต์ที่ติดเชื้อ เพื่อให้การประเมินผลกระทบเต็มรูปแบบรายละเอียดที่จำเป็นและอาจจะใช้ได้ผ่านการวิเคราะห์ของคำสั่งที่ส่งไปยังโฮสต์ โดยคนร้าย อย่างไรก็ตาม การสั่งการ และการควบคุมการจราจร จำกัด ส่วนใหญ่ใช้เป็นหนูหรือคลุมเครือการเข้ารหัสเพื่อซ่อนข้อมูลที่ส่งผ่านเครือข่าย .
ในบล็อกนี้ ผมจะดูที่หนูเรียกดาวหางมืด ผมจะวิ่งผ่านความสามารถที่มาจากเครื่องมือตรวจสอบการจราจรเครือข่ายที่เกี่ยวข้อง ระบุขั้นตอนวิธีการเข้ารหัสลับและแสดงวิธีการที่สำคัญสามารถระบุได้ด้วยการวิเคราะห์น้อยของโฮสต์ที่ติดเชื้อ
หนูมัลแวร์เครื่องมือการบริหารระยะไกล ( ที่รู้จักกันเป็นอย่างอื่นหนู ) เป็นชิ้นส่วนของซอฟต์แวร์ที่ออกแบบมาเพื่อให้สามารถเข้าถึงลูกค้าระยะไกล ความสามารถมักจะรวม keystroke logging , การเข้าถึงระบบแฟ้มและการควบคุมระยะไกล รวมถึงการควบคุมของอุปกรณ์เช่นไมโครโฟนและเว็บแคม หนูจะถูกออกแบบมาเป็นเครื่องมือการบริหารที่ถูกต้องแต่เนื่องจากความสามารถของพวกเขาอย่างละเอียดจะเห็นมักจะใช้กับเจตนาร้าย
เมื่อหนูตัวหนึ่งถูกระบุว่าเป็นหลักในการติดเชื้อที่เป็นอันตรายการวิเคราะห์มัลแวร์โดยทั่วไปจะแก้ไขความสามารถทั้งหมดถูกให้กับผู้ที่ทำร้าย อย่างไรก็ตาม คนร้ายอาจจะใช้ความสามารถทั้งหมดที่มี พวกเขาอาจจะใช้ keylogging สิ่งอำนวยความสะดวก ,หรือการใช้เครื่องมือเพิ่มเติมเพื่อติดตั้งลับๆบนโฮสต์ที่ติดเชื้อ เพื่อให้การประเมินผลกระทบเต็มรูปแบบรายละเอียดที่จำเป็นและอาจจะใช้ได้ผ่านการวิเคราะห์ของคำสั่งที่ส่งไปยังโฮสต์ โดยคนร้าย อย่างไรก็ตาม การสั่งการ และการควบคุมการจราจร จำกัด ส่วนใหญ่ใช้เป็นหนูหรือคลุมเครือการเข้ารหัสเพื่อซ่อนข้อมูลที่ส่งผ่านเครือข่าย .
ในบล็อกนี้ ผมจะดูที่หนูเรียกดาวหางมืด ผมจะวิ่งผ่านความสามารถที่มาจากเครื่องมือตรวจสอบการจราจรเครือข่ายที่เกี่ยวข้อง ระบุขั้นตอนวิธีการเข้ารหัสลับและแสดงวิธีการที่สำคัญสามารถระบุได้ด้วยการวิเคราะห์น้อยของโฮสต์ที่ติดเชื้อ
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- ค่า Vacuum ไม่ได้ตามที่กำหนดไว้
- ยินดีต้อนรับสาวน้อย เอวา
- don't take your shoes come in
- What do you do
- Leatherman Surge vs WaveWhen choosing a
- combination of discursive andimagery mod
- ฉันเล่น skype ไม่ค่อยเป็น
- Ich dich auch
- แค่นี้ก็พอแล้ว
- เขาไม่ได้โทรหาฉัน
- สมมุติว่าเราสองคนเป็นแฟนกัน ในอนาคตจะเป็
- Unhealthy
- If our relationship was closely more tha
- จดหมาย
- ที่ดีกว่าฉัน คุณสามารถหาเจอได้ใน วอคกิ้ง
- combination of discursive andimagery mod
- ฉันขึ้นรถไปโรงเรียนทุกเช้า
- ที่พัดผ่านทะเลสาบทางห้องพักฝั่งทะเลสาบคา
- Il est un Russe
- ขอคำตอบวิชา
- แทคทีม
- All information will be inside the offic
- I'm doing law
- What color of underwear do you have on?
