Alrededor de febrero de este año, nos encontramos con un malware que anteriormente había pasado desapercibido. Enterrada en el zoológico de malware, la amenaza parece haber estado operativa desde al menos 2015, sin documentar por la comunidad de investigación.
Nuestro interés se vio estimulado por sus capacidades de acceso remoto, que incluyen control sin restricciones de la computadora comprometida, movimiento lateral en toda la organización y mecanismos de detección y evasión similares a los de los rootkits. Impulsado por una amplia gama de características, esta RAT se utilizó en ataques dirigidos a la información exfiltrante o el seguimiento de víctimas en grandes organizaciones en red.
Además de sus mecanismos de exfiltración de datos muy potentes, RadRAT presenta mecanismos de movimiento lateral extremadamente interesantes que
- credenciales tipo Mimikatz que se obtienen de WDigest.dll y kerberos.dll;- Recolección de hash NTLM del registro de Windows, inspirado en el código fuente de la herramienta Mimikatz lsadmp;- Usar la máquina infectada para recuperar una contraseña de Windows del hash LanMan (LM), al descifrar los desafíos de autenticación NTLM olfateados previamente;- Una implementación del ataque Pass-the-Hash en conexiones SMB.
FUENTE: BITDEFENDER
0 comentarios:
Publicar un comentario