Analyse de JRAT

Magazine
Marque
MISC
Numéro
99
Mois de parution
septembre 2018
Domaines


Résumé

Depuis la sortie de la version 6, JRAT est de nouveau fréquemment utilisé dans des campagnes d’infection. Dans cet article, nous nous intéresserons aux techniques utilisées par les développeurs pour que JRAT soit multiplateforme et nous verrons qu’ils n’ont pas manqué d’imagination pour compliquer le travail des analystes.


 

1. Introduction

JRAT est un malware appartenant à la famille des RAT (Remote Access Tool), développé en Java et délivré via un e-mail malveillant sous la forme d’un fichier ZIP contenant un JAR. Les principales fonctionnalités de ce malware sont la récupération des frappes clavier, l’espionnage de l’utilisateur via le micro ou la webcam ou encore la possibilité de télécharger et d’exécuter d’autres fichiers sur le poste infecté. Ici, les samples analysés sont 8b6cfc63a8dc27cad0542e9e6fb225c4 (v5) et 1c5d50c636c5adcadc814c9335aaa604 (v6).

1.1 Objectifs

L’objectif de cet article est de présenter les principales techniques d’obfuscation et de déchiffrement utilisées par JRAT, de détailler certains aspects du cœur du malware tels que la gestion du multiplateforme, la communication vers le serveur de commandes et de contrôle et les techniques pour exécuter des fichiers. De plus, tout au long de l’article les différences entre la V5...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Utilisation de services en ligne légitimes par les malwares

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Les fraudes sur Internet, qu’elles suivent une motivation financière ou autre, nécessitent généralement de l’ingénierie sociale, ou l’utilisation de malwares. Ces derniers sont plus ou moins furtifs au niveau de leur comportement sur le poste de travail infecté, mais aussi lors de leurs communications sur le réseau avec leur contrôleur, ou serveur de « command and control » (C2). Voulant rendre leur trafic moins détectable, certains cybercriminels ont misé sur l’utilisation de plateformes et services légitimes en ligne. Bien que cette méthode ne soit pas nouvelle en soi, elle tend à être de plus en plus utilisée depuis quelques années.

Introduction au dossier : Ransomwares : état de la menace

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.