QuasarRAT: AES-256 cũng không thể che giấu

Các chuyên gia bảo mật vừa công bố một phương pháp luận đột phá nhằm trích xuất cấu hình được mã hóa của QuasarRAT, một .NET remote access trojan (RAT), thường xuyên được tội phạm mạng và các nhóm hacker nhà nước sử dụng.

QuasarRAT: Trojan trên nền tảng .NET

QuasarRAT, ban đầu được ra mắt vào năm 2014 dưới tên xRAT, được triển khai bằng C# trên .NET Framework và đã nhanh chóng trở thành công cụ được ưa chuộng. Mặc dù ban đầu được phát hành như một công cụ quản trị Windows hợp pháp, nó đã bị vũ khí hóa có hệ thống.

Mã độc này hỗ trợ một loạt các chức năng quản trị từ xa mở rộng, bao gồm system reconnaissance, thao tác tệp, xem remote desktop, keylogging, và arbitrary command execution. Các nhà nghiên cứu đã quan sát thấy QuasarRAT được sử dụng trong các chiến dịch gián điệp mạng và xâm nhập do cả các nhóm hacker độc lập và các nhóm liên kết với nhà nước dàn dựng.

Công cụ Phân tích Tự động và Intermediate Language

Phương pháp luận trích xuất cấu hình của các nhà nghiên cứu được xây dựng dựa trên sự kết hợp phức tạp của các công cụ chuyên biệt, bao gồm Jupyter Notebook, pythonnet, và dnSpy. Nền tảng của framework là thư viện nguồn mở dnlib, cho phép kiểm tra sâu và sửa đổi các assembly .NET.

Pythonnet đóng vai trò là cầu nối quan trọng, giúp mã Python gọi các API của dnlib một cách liền mạch, cho phép các nhà nghiên cứu phân tích Intermediate Language, hay còn gọi là MSIL hoặc CIL, và trích xuất các thành phần quan trọng như metadata, các loại tùy chỉnh, và chuỗi nhúng. Toàn bộ môi trường phân tích được containerized bằng Docker để đảm bảo tính di động và khả năng tái tạo cao.

Kỹ thuật Trích xuất Cấu hình Mã hóa

Đối với các mẫu QuasarRAT không bị che chắn, chiến lược trích xuất tập trung vào config namespace bên trong lớp settings. Cấu hình quan trọng như phiên bản, hosts, độ trễ kết nối lại, khóa mã hóa và chứng chỉ máy chủ nằm trong static fields được khởi tạo bởi .cctor method.

Tuy nhiên, đối với các mẫu bị che chắn, phương pháp tiên tiến hơn sẽ khai thác các cơ chế giải mã lúc runtime của mã độc. QuasarRAT sử dụng AES-256 ở chế độ CBC, với việc dẫn xuất khóa được thực hiện qua PBKDF2. Bằng cách phân tích chéo, các nhà nghiên cứu có thể xác định lớp Aes256 và phục hồi giá trị salt bằng cách giải quyết token metadata được tải qua lệnh ldtoken, cho phép họ lấy ra các thông số cấu hình quan trọng.

Cách tiếp cận có hệ thống này chứng minh tính khả thi của việc phân tích tự động đối với mã độc dựa trên .NET. Mặc dù được tùy chỉnh cho QuasarRAT, quy trình làm việc mô-đun này có thể dễ dàng thích ứng với các mối đe dọa .NET khác sử dụng các mẫu khởi tạo và API mã hóa tương tự. Mã trích xuất hoàn chỉnh đã được công bố trên kho Git cộng đồng của Sekoia.io, cung cấp các công cụ thực tế cho các chuyên gia an ninh mạng trong việc ứng phó sự cố và tình báo mối đe dọa.