Во время одного из расследований команда по реагированию на инциденты Positive Technologies обнаружила малварь TgRAT, которая использует закрытые чаты в Telegram в качестве каналов управления.

По данным исследователей, вредонос создан под конкретные устройства, с которых злоумышленники планируют похитить конфиденциальную информацию. Так, в самом начале своей работы малварь проверяет имя узла, на котором запущена. Если имя не совпадает со значением, жестко вшитым в тело программы, TgRAT завершает свою работу.

Известно, что для проникновения и перемещения по сети жертв злоумышленники применяли как уже известные вредоносные программы, в частности Impacket, Mimikatz, инструменты для туннелирования сетевого трафика (Chisel, dnscat2, Gost и так далее), так и новые, не особенно распространенные вредоносы — небольшие RAT (remote access trojan), использующие Telegram API для выгрузки данных.

Анализ показал, что файл с полезной нагрузкой TgRAT представляет собой небольшой RAT, использующий Telegram в качестве управляющего сервера. Сервером является закрытая группа в мессенджере, коммуникация осуществляется с помощью Telegram API (библиотека github.com/wrwrabbit/telegram-bot-api-go). Хотя эксперты пишут, что наблюдали несколько модификаций этой малвари, отличающихся архитектурой, функциональность у всех них была идентичная.

Токен и ID чата для коммуникации могут быть считаны из файла с именем token.sys, который должен лежать в каталоге с вредоносом. В случае если файла нет, малварь использует те токен и ID, которые содержатся в коде.

Эксперты пишут, что TgRAT может выполнять следующие типы команд:

  • получение информации о зараженном компьютере;
  • подключение (bind) к определенной группе в Telegram, служебное сообщение об ошибке подключения;
  • самозавершение (kill);
  • сохранение сообщения в виде файла;
  • самообновление;
  • запуск шелла;
  • выполнение команды в шелле и сохранение результата в виде файла;
  • запуск процесса;
  • сон в течение определенного времени;
  • перезапуск бота;
  • скачивание файла;
  • снимок экрана.
Сбор данных

На момент проведения расследования исходный код TgRAT отсутствовал в публичных источниках, и на первых порах он может не детектироваться антивирусными средствами. Для его обнаружения эксперты рекомендуют использовать инструменты мониторинга трафика и обращать внимание на исходящий трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы.

Кроме этого, в компании советуют наблюдать за потоком данных внутри сети (при таком подходе можно выявлять сетевые туннели и нестандартное общение между серверами), покрывать антивирусными средствами защиты все узлы в инфраструктуре и использовать песочницы.

«Во многих компаниях Telegram используют в качестве корпоративного мессенджера, что подталкивает злоумышленников к разработке средств эксплуатации Telegram API для скрытого управления бэкдорами и выгрузки конфиденциальной информации. Один из наиболее эффективных подходов к выявлению подобных каналов утечки — использование антивирусов на всех узлах, включая серверы, и применение систем глубокого анализа трафика (NTA) и песочниц (Sandbox), средств выявления угроз безопасности и реагирования на них на конечных точках (EDR). Кроме того, трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы — это уже подозрительный процесс, который должен насторожить службу безопасности», — комментирует Денис Гойденко, руководитель отдела реагирования на угрозы информационной безопасности в Positive Technologies.

Источник: xakep