Un petit zoom sur les malwares/virus que l’on nomme RAT.
(RAT voulant dire Remote Access Tool, mais qui sont surtout utilisés pour se constituer un botnet).
Sous couvert de programmes d’administration d’ordinateurs et de prise en main à distance du PC.
Comme le font, par exemple VNC ou Teamviewer.
Au final, ces programmes sont distribués et utilisés comme des Trojans.
Ces malwares sont assez répandus de part leurs utilisations très importantes et leurs modes de propagation.
Voici une présentation de ces Trojan RAT.
Table des matières
Présentation des Trojans RAT
Il existe divers Trojan RAT, un des plus anciens est BlackShades, le plus utilisé est Darkomet ou NanoCore.
Ces chevaux de troie sont vendus, mais on peut trouver des versions crackés, des tutoriels (dont des vidéos sur youtube) existent à foison.
Dès lors, n’importe qui, qui a très peu de connaissance, peut se créer son propre Botnet (réseaux de PC infectés).
Les RAT fonctionnent en Client/Serveur ;
- Vous faites tourner un serveur, soit vous louez une machine pour cela, soit la plupart le font tourner sur leur ordinateur personnel. Le serveur se présente sous la forme d’une interface qui permet de piloter les clients (machine infectée).
- Et une partie cliente qui se connecte au serveur : Le but est d’arriver à faire exécuter la partie cliente à l’insu de l’utilisateur du PC afin de pouvoir prendre le contrôle de la machine, ce qui est en général assez simple, via du le social engineering, puisque les personnes visées ne sont en général pas très férues d’informatique.
Trojan RAT en vidéo
La vidéo suivante montre un Trojan RAT de type NanoCore en action.
Une fois l’ordinateur de la victime infecté, on peut presque tout faire comme si on était physiquement devant.
Ainsi, parmi les fonctionnalités les plus répandues offertes par ces malwares, on trouve :
- Lister les processus
- Ouvrir la base de registre Windows.
- Accéder aux fichiers
- Lancer de nouvelle application
- Effectuer des captures d’écran (prise en main à distance)
- Enregistrer les frappes claviers (keylogger)
- Accéder aux mots de passe enregistrés dans les navigateurs WEB.
- Activer la webcam ou le microphone de l’ordinateur (enregistreur son).
Notez que des plugins peuvent être achetés pour étendre les fonctionnalités, selon les besoins.
Trojan RAT BlackShades
Voici quelques captures d’écran des fonctionnalités d’un Trojan RAT BlackShades (une des premières familles).
On retrouve à peu près les mêmes fonctionnalités que NanoCore qui sont des standars.
ci-dessous on peut récuéprer les les mots de passe enregistrés dans Mozilla Firefox.
La clé Run de Windows afin de rendre le malware persistant après un redémarrage de Windows.
Bref, on peut tout faire, la plupart des RATs permettent :
- d’allumer la webcam
- à ajouter un contact MSN/Skype
- effectuer des captures d’écran de l’ordinateur infecté
- récupérer les mots de passe, notamment ceux enregistrés dans les navigateurs WEB
- fonctionnalité de keylogger
- Contrôler Windows : arrêter des services, supprimer des fichiers…
Le pirate peut aussi ouvrir une fenêtre de chat pour causer, souvent pour montrer qu’il est tout puissant.
Trojan Imminent
Ci-dessous le RAT Imminent Monitor vendu 25$ qui propose lui aussi toutes les fonctionnalités classiques de ce type de menaces informatiques.
Ci-dessous des exemples de récupérations des frappes claviers par la fonctionnalité keylogger :
Cheval de troie NanoCore
ou encore NanoCore vendu environ 10$ avec un service de Cryptage de la partie cliente afin de le rendre indétectable par les antivirus.
Symptômes des Trojan RAT
Le but est bien sûr de passer inaperçu pour l’utilisateur et de ne pas être détecté par les antivirus surtout dans les premières heures afin de pouvoir soit voler les informations ou garder ensuite l’ordinateur le plus longtemps possible pour par exemple ensuite mener des attaques DoS.
Erreur Auto-IT ou RegASM
Les RATs sont souvent détectés en Trojan.MSIL.xxx du fait qu’ils sont écrits en langage MSIL. On trouve notamment le processus RegASM.exe en cours de fonctionnement.
Parfois donc des erreurs de crash de ce processus RegASM.exe peuvent attirer l’attention de l’utilisateur.
NOD32 détecte souvent ces derniers à travers une détection générique MSIL/Kryptik
Si le Cheval de troie est écrit en AutoIT, vous pouvez rencontrer des messages « Error AutoIT » avec le chemin complet du Trojan.
Là aussi les forums de désinfections ont des demandes liés à ces erreurs qui permettent à l’utilisateur de se rendre compte que son ordinateur est compromis.
Erreur et fenêtre CMD
Les trojans RAT peuvent afficher aussi des fenêtres cmd.exe intempestives ou accompagnés d’erreur.
Cela peut arriver sir le Trojan est buggué ou si une partie a été mis en quarantaine par l’antivirus.
En général, un chemin dans %APPDATA% est indiqué.
Problème de touches accents et keylogger
Enfin, ces trojans embarquent des fonctionnalités de keylogger, ils peuvent causer des problèmes, un des symptômes courants et le double accent circonflexe et l’impossibilité donc d’avoir un accent circonflexe qui fonctionne virus double accent circonflexe – double ^.
Du coup on arrive à des topics sur les forums assez fréquents qui vont du vol de compte hotmail/MSN/Facebook ou Steam à des simples prises de contrôle et faire le caïd ou faire peur.
Exemple :
http://www.commentcamarche.net/forum/affich-4854278-hacke-par-un-serveur-prorat
http://www.commentcamarche.net/forum/affich-21989750-besoin-d-aide-avec-fichier-xxx-xxx-et-uuu-uuu
Encore hier sur un topic, c’était le cas 6 /42 (14.3%) : http://www.commentcamarche.net/forum/affich-22491642-virus-project1
http://pjjoint.malekal.com/files.php?read=e6a42c0c2c957&html=on
La connexion va vers limtred1.no-ip.biz (SFR), déjà rencontrée en Janvier 2010 : https://forum.malekal.com/microsoft-kb65465-exe-backdoor-poison-t22991.html
Bref comme vous pouvez le voir, il est assez facile de créer son propre botnet pour des pirates en herbe et ils sont très répandus, une bonne partie des liens donnés sur la page Botnets et service d’hébergement (rapidshare, dropbox etc) en sont.
Encore une fois donc, ne cliquez pas sur tous les clients et éviter d’exécuter n’importe quel fichier pris n’importe où.
Les Trojan RAT : cheval de troie pour les nuls
Botnet pour les nuls
On parle de botnets pour les nuls, car ces Trojan Rat sont très simple à mettre en place.
Aucune connaissance très poussé n’est à connaitre, car tout est fournit sous forme de package.
Le serveur peut être mis en place et lancé rapidement.
De même la compilation du dropper, c’est à dire de la partie cliente à faire exécuter sur l’ordinateur de la victime est aussi très facile à exécuter.
A partir de là, il y a une démocratisation de ce type de menaces informatiques afin notamment de vendre plus facilement ces chevaux de Troie.
Résultat, ces derniers sont très utilisées par des ados pour soit causer des dommages, soit gagner de l’argent.
Il existe même des tutoriels, souvent sous forme de vidéo, qui expliquent comment mettre tout cela en place.
L’autre aspect et que la plupart de ces Trojan RAT ne sont pas non plus très évolués, d’un point de vue du fonctionnement.
Il s’agit pour la plupart de Trojan écrit en .NET ou en AutoIT.
En clair, les groupes structurés n’utilisent pas ce type de Trojan qui est plutôt réservé aux ados et autres.
Les groupes plus structurés utilisant des trojans conçus par leur soins ou achètent des Trojans plus complexes, voir la page : Trojan avancé : fonctionnement de cheval de troie plus complexe
Cela ne veut pas non plus dire qu’il n’est pas possible de faire des dégâts.
Il existe bien entendu des exceptions avec des RAT plus complexes.
Exemple d’un ordinateur infecté par un Trojan RAT diffusé par de faux cracks :
Le package d’un Trojan RAT fournit tout pour créer la partie cliente qui sera à faire installer aux victimes (voir pour cela la page : Comment les virus informatiques sont distribués)
Par exemple, BlackShades fournit tout ce qu’il faut pour créer le dropper de la partie cliente, comme le montre la capture suivante :
Il est alors possible de créer un dropper qui se répand par disques amovibles, choisir la clef de démarrage ajoutée, le nom du processus etc.
NanoCore aussi, avec sa partie Builder et ses fonctionnalités.
On indique l’adresse du serveur, on peut choisir l’icône du dropper et appliquer un crypter (voir plus bas).
La détection du dropper BlackShade Result: 28/ 37 (75.7%) : http://www.virustotal.com/file-scan/report.html?id=4a86d3a302d11ed4b42d8770273a85b661005bf6291adf01a76f22a70c90aeed-1309350687
Crypters et protecters pour baisser le taux de détection du cheval de troie
Il est ensuite possible d’utiliser des Crypters/Protectors afin d’échapper aux détections des antivirus.
Selon si le crypter est connu ou non des éditeurs d’antivirus et s’il est performant, on peux faire considérablement diminuer la détection.
En 20min de surf, sans rien débourser, j’arrive à ceci :
Result: 21/ 42 (50.0%)
http://www.virustotal.com/file-scan/report.html?id=5fc37719fcaeb1e2d59eef69f2192df4a7f595ea8b955931f722b2f527e9cbbf-1309352748
Result: 21/ 42 (50.0%) :
http://www.virustotal.com/file-scan/report.html?id=b3288c40c76319779c9ae0dcbb968439a9b4ceb8b974ebf7c8c5c685f9943087-1309353532
Result: 15/ 42 (35.7%)
http://www.virustotal.com/file-scan/report.html?id=f41b505e89e58de97ed28026a147a1a499ab7e0fdbb148c5c9ca88b4a9e3c78f-1309357681
Result: 13/ 42 (31.0%) :
http://www.virustotal.com/file-scan/report.html?id=b5f4aecb8bd193e884f4b48ade01aed32a7218d059ac9659488118a6a934bd9c-1309357310
http://www.virustotal.com/file-scan/report.html?id=277f054303e27ac7ce2934fbcf214497fe360536a063e527d2832c3fe6e17124-1309356711
http://www.virustotal.com/file-scan/report.html?id=f9fbca570525e8b73a4e1d72547bf6ff3b216772e36fa64bccc082ab8f0bc086-1309357443
Je n’ai pas essayé d’autres crypters car 9/42 me semblait un score correct pour en déduire que n’importe qui, qui a un minimum de connaissance informatique en l’espace d’1H a ce qu’il faut pour se créer son propre botnet.
Plus d’informations sur ces méthodes sur la page : Crypter/Packer et détection antivirus
Autres astuces pour baisser le taux de détection antivirus
des astuces pour passer sous les radars et ainsi faire en sorte que la détection soit baisse pendant une période longue pour infecter un maximum d’ordinateurs sont souvent utilisées.
Vous trouverez quelques exemples sur la page suivante : Trojan RAT par torrent (avec IP en SFR)
La distribution des RATs
Fausse page de vidéo sur Youtube : https://www.malekal.com/rats-free-sur-facebook/
Youtube
Une vidéo qui fait la promotion d’un programme (cheat, programme pour trouver le mot de passe Skype, Facebook), bref n’importe quel prétexte pour vous faire cliquer.
Soit directement sur une page de téléchargement type mediafire.
Exemple : Facebook Hack : Comment installer KeyLogger
soit parfois un site WEB pour faire « pro » ou le lien pour télécharger le programme qui s’avère être un RAT se trouve.
ou par exemple ici une vidéo pour « hacker » un compte Facebook, le programme renferme bien entendu un RAT
ou encore toujours sur YouTube, une vidéo vu de 142k fois qui mènent à un RAT Nanocore.
L’auteur édite la vidéo une fois par jour afin de changer le lien vers un dropper frais et mal détecté afin de ne pas attirer les soupçons.
Méthode déjà évoquée sur ce lien : Ransomware : un moyen de monétiser
On trouve toute sorte de vidéo sur YouTube qui servent à faire installer des Trojan Rats, comme des générateurs Dofus etc.
N’importe quel programme fréquemment illicite peut servir de prétexte dans le but de faire télécharger et exécuter ce dernier sur l’ordinateur del a victime.
Cracks et Keygen
Sur les sites de WAREZ, des cracks qui sont en réalité des trojan RAT.
Les internautes qui n’ont pas les connaissances pour faire la différence entre un vrai et un faux cracks peuvent alors infecter leur ordinateur.
Exemple :
Les limites des trojan RAT
Bien entendu, cela permet de créer un botnet ponctuel mais ce n’est pas donné à tout le monde de pouvoir le maintenir et le faire grossir.
En effet, Il faut mettre à jour le client pour ne pas se faire rattraper les antivirus.
Cela demande donc des connaissances sur des forums de personnes qui produisent des crypters tous les jour, du temps etc…
Mais à travers cet article, vous comprendrez que la démocratisation des malwares est en marche depuis quelque temps, d’où l’explosion.
Les grosses infections utilisant des systèmes automatisés pour produire chaque jour un nombre de droppers conséquents.
Protéger son PC des Trojan RAT
Vous pouvez suivre notre guide pour sécuriser et protéger votre PC des malwares.
Quelques RAT (Remote Access Control) répandus
Voici une liste des Trojans RAT les plus utilisés et répandus avec les détections Microsoft.
- NanoBot et MSIL:NANOCORE
- MSIL/IMMIRAT
- BACKDOOR:WIN32/XTRAT
- TROJAN.CHICKIL
- WORM:WIN32/AINSLOT.A
- MSIL/OMANEAT
Ci-dessous une détection Trojan:Win32/Skeeya par Windows Defender
mais aussi Trojan:Win32/Dynamer!ac
Dans les oubliés, on trouve les familles de trojan RAT suivantes :
- BiFrose
- Backdoor.Prorat
- Backdoor.Cybergate
- DarkoMet
- Backdoor:Win32/Fynloski
Liens
- CyberGate @ Numericable
- Facebook Hack : Comment installer KeyLogger
- Darkcomet par mass cracks/keygens
- RATs sur Facebook
- Trojan NanoCore / Backdoor:MSIL/Noancooe : Exemple d’une Campagne
Les forums Warez avec de faux cracks qui conduisent à des Rats :
- planete-lolo : cracks et….. RATs
- Backdoor:Win32/Fynloski.A sur Orange via no-ip.org
- Trojan-Dropper.Win32.Dapato chez Free via OVH
Plus technique :