Orco es un troyano de acceso remoto con algunas características distintivas. RAT permite a los atacantes crear complementos y ofrece un sólido conjunto de funciones básicas que lo convierte en un programa malicioso bastante peligroso en su clase.
RAT es un tipo bastante estable que siempre llega a la cima.
 |
| Los principales tipos de malware de ANY.RUN en 2022 |
Es por eso que definitivamente se encontrará con este tipo en su práctica, y específicamente con la familia Orcus. Para simplificar su análisis, hemos recopilado 3 trucos que debe aprovechar. Aquí vamos.
¿Qué es Orcus RAT?
Definición. Orcus RAT es un tipo de programa de software malicioso que permite el acceso y control remoto de computadoras y redes. Es un tipo de troyano de acceso remoto (RAT) que han utilizado los atacantes para obtener acceso y controlar computadoras y redes.
Capacidades. Una vez descargado en una computadora o red, comienza a ejecutar su código malicioso, lo que permite que el atacante obtenga acceso y control. Es capaz de robar datos, realizar vigilancia y lanzar ataques DDoS.
Distribución. El malware generalmente se propaga a través de correos electrónicos maliciosos, sitios web y ataques de ingeniería social. A menudo, también se incluye con otros programas de software malicioso, como troyanos, gusanos y virus.
Lifehacks para el análisis de malware Orcus RAT
El malware está diseñado para ser difícil de detectar, ya que a menudo utiliza técnicas sofisticadas de encriptación y ofuscación para evitar la detección. Y si necesita llegar al núcleo de Orcus, la configuración RAT tiene todos los datos que necesita.
Y hay varios trucos a los que debe prestar atención al realizar el análisis de Orcus RAT.
Hoy investigamos la muestra de .NET que puedes descargar gratis en CUALQUIER base de datos.EJECUTAR:
SHA-256: 258a75a4dee6287ea6d15ad7b50b35ac478c156f0d8ebfc978c6bbbbc4d441e1
1 — Conoce las clases de Orcus
Debe comenzar por verificar las clases de malware donde puede obtener las características del programa oculto. Un montón de datos que contienen las clases es exactamente lo que será útil para su investigación.
Un espacio de nombres Orcus.Config tiene estas clases:
- Contras: Datos de archivos y directorios de Orcus, por ejemplo, la ruta al archivo donde se guardan las pulsaciones de teclas del usuario o al directorio donde residen los complementos utilizados por una muestra.
- Ajustes: contienen métodos de envoltorio para descifrar la configuración del malware y sus complementos.
- ConfiguraciónDatos: es una clase estática solo con los campos de configuración de complementos y malware encriptados.
2 — Encuentra recursos RAT de Orcus
Una vez que te sumerges en el Ajustes clase, puedes notar la Obtener configuración descifrada método. Más tarde, llama a la AES.Descifrar. Y parece que su trabajo está hecho y finalmente se encuentra la configuración de malware. Pero espera, el ensamblado no contiene un Orcus.Shared.Encryption espacio de nombres
 |
| Método GetDecryptedSettings |
Orcus RAT almacena ensamblajes adicionales dentro de los recursos de malware utilizando un algoritmo de ‘desinflado’. Puede ir a los recursos para encontrar el montaje necesario. Desempaquetarlos le permitirá revelar el algoritmo de descifrado que utiliza una muestra de Orcus. Eso trae un truco más para hoy.
3 — Descifrar datos
Nuestra búsqueda del tesoro continúa, ya que los datos de configuración están encriptados.
Orcus RAT encripta los datos usando el algoritmo AES y luego codifica los datos encriptados usando Base64.
Cómo descifrar datos:
- generar la clave a partir de una cadena dada usando la implementación PBKDF1 de Microsoft
- decodificar los datos de Base64
- aplique la clave generada para descifrar los datos a través del algoritmo AES256 en modo CBC.
Como resultado de la decodificación, obtenemos la configuración del malware en formato XML. Y todos los secretos de Orcus están ahora en tus manos.
Obtenga todo a la vez en un entorno limitado de malware
El análisis de malware no es pan comido, definitivamente se necesita tiempo y esfuerzo para descifrar una muestra. Por eso siempre es bueno cortar la línea: obtener todo de una vez y en poco tiempo. La respuesta es simple: use un entorno limitado de malware.
Zona de pruebas de malware ANY.RUN recupera automáticamente la configuración para Orcus RAT. Es una forma mucho más fácil de analizar un objeto malicioso. Pruébelo ahora: el servicio ya ha recuperado todos los datos de este muestra de orcopara que pueda disfrutar de una investigación fluida.
⚡ Escribe el “hackernoticias1¡Código de promoción en [email protected] usando su dirección de correo electrónico comercial y obtenga 14 días de suscripción premium ANY.RUN gratis!
Conclusión
El Orcus RAT se hace pasar por una herramienta de administración remota legítima, aunque está claro por sus características y funcionalidades que no lo es y nunca tuvo la intención de serlo. El análisis del malware ayuda a obtener información para la ciberseguridad de su empresa.
Proteja su empresa de esta amenaza: implemente una estrategia de seguridad integral, capacite a los empleados para que reconozcan y eviten los correos electrónicos y los sitios web maliciosos, y use un antivirus confiable y un sandbox de malware ANY.RUN para detectar y analizar Orcus.