Versões anteriores do STRRAT dependiam do Java Runtime Environment (JRE) instalado em endpoints infectados. Recentemente, esse trojan adquiriu a capacidade de implantar seu próprio JRE em endpoints infectados.
O STRRAT geralmente é entregue por e-mails de phishing e permite que os invasores executem uma infinidade de comandos nos endpoints infectados.
Nesta postagem do blog, falaremos de como o Omni Secure detecta as atividades maliciosas do STRRAT.
.crimsonextensão aos arquivos no endpoint da vítima, embora não criptografe os arquivos.<digits>lock.filearquivo na C:\Users\<USER_NAME>\pasta. O <digits>representa a porta usada pelo trojan para se conectar ao seu servidor de comando e controle (C2).system-hookarquivo Jar e usa esse arquivo para registrar as teclas digitadas do endpoint da vítima. Este arquivo Jar está localizado na C:\Users\<USER_NAME>\lib\pasta.sqlite-jdbce jna-platformarquivos Jar na C:\Users\<USER_NAME>\lib\pasta. O trojan usa esses arquivos para realizar atividades maliciosas no endpoint da vítima.Skype. Essa tarefa agendada executa o malware a cada 30 minutos.C:\Users\<USER_NAME>\AppData\Roaming\strlogspasta antes de tentar se conectar ao seu servidor C2.
O STRRAT é entregue em estágios e usa ofuscação para evitar a detecção em um endpoint de vítima. Nesta postagem do blog, usamos as seguintes técnicas para detectar a presença de STRRAT:
O Omni Secure usa seu módulo File Integrity Monitoring (FIM) para detectar e acionar alertas quando arquivos são criados, modificados ou excluídos em pastas monitoradas.
100050é acionado quando o malware STRRAT baixa um system-hookarquivo jar.100051é acionado quando .crimsona extensão é anexada aos arquivos em Documentsou Desktoppasta Downloads.100052é acionado quando o STRRAT cria um <digits>lock.filearquivo na C:\Users\<USER_NAME>\pasta.100053é acionado quando o STRRAT baixa um arquivo jna-platformou sqlite-jdbcjar.Os alertas abaixo são gerados no painel do Omni Secure quando o STRRAT é executado no endpoint da vítima.
O Omni Secure possui um módulo de monitoramento de comandos para executar comandos e monitorar a saída desses comandos em endpoints monitorados. Usamos o módulo de monitoramento de comandos para detectar uma tarefa agendada pelo Windows chamada Skype, criada pelo STRRAT.
100054é acionada quando uma tarefa agendada nomeada Skypeé criada.100055é acionado quando uma tarefa agendada nomeada Skypeestá em execução.
O Omni Secure possui um módulo de monitoramento de comandos para executar comandos e monitorar a saída desses comandos em endpoints monitorados. Usamos o módulo de monitoramento de comandos para detectar uma tarefa agendada pelo Windows chamada Skype, criada pelo STRRAT.
100054é acionada quando uma tarefa agendada nomeada Skypeé criada.100055é acionado quando uma tarefa agendada nomeada Skypeestá em execução.O alerta abaixo é gerado no painel do Omni Secure quando o malware STRRAT é executado no endpoint da vítima.
Nesta postagem do blog, usamos o Omni Secure com sucesso para detectar o comportamento do malware STRRAT. Especificamente, usamos técnicas de monitoramento de integridade de arquivos e monitoramento de comandos para detectar malware STRRAT em um endpoint do Windows 10.
O Omni Secure é uma solução de segurança pronta para empresas para detecção e resposta a ameaças. O Omni Secure integra-se perfeitamente com soluções e tecnologias de terceiros.
Fale com nossa equipe e veja como nossos serviços podem ajudar a melhor a maturidade da segurança corporativa da sua companhia.