Los troyanos de acceso remoto (RAT) han tomado la tercera posición de liderazgo en ANY. Carreras Informe Q1 2023 en los tipos de malware más frecuentes, lo que hace que sea muy probable que su organización se enfrente a esta amenaza.
Aunque LimeRAT podría no ser la familia RAT más conocida, su versatilidad es lo que la distingue. Capaz de llevar a cabo un amplio espectro de actividades maliciosas, sobresale no solo en la exfiltración de datos, sino también en la creación de botnets DDoS y facilitando la criptominería. Su huella compacta le permite eludir los sistemas de detección de puntos finales, lo que lo convierte en un adversario sigiloso. Curiosamente, LimeRAT comparte similitudes con njRAT, que ANY.RUN clasifica como la tercera familia de malware más popular en términos de cargas durante el primer trimestre de 2023.
CUALQUIER EJECUTAR Recientemente, los investigadores realizaron un análisis en profundidad de una muestra de LimeRAT y extrajeron con éxito su configuración. En este artículo, proporcionaremos una breve descripción general de ese análisis.
Artefactos recolectados
SHA1 | 14836dd608efb4a0c552a4f370e5aafb340e2a5d |
SHA256 | 6d08ed6acac230f41d9d6fe2a26245eeaf08c84bc7a66fddc764d82d6786d334 |
MD5 | d36f15bef276fd447e91af6ee9e38b28 |
SSDEEP | 3072:DDiv2GSyn88sH888wQ2wmVgMk/211h36vEcIyNTY4WZd/w1UwIwEoTqPMinXHx+i:XOayy |
IPv4:
| COI | Descripción |
20[.]199.13.167:8080 | Servidor de Comando y Control de LimeRAT |
Dominios:
| COI | Descripción |
https://pastebin[.]com/raw/sxNJt2ek | PasteBin utilizado por LimeRAT para ocultar su servidor de Comando y Control original |
MITRE ATT&CK®
| Táctica | Técnica | Descripción |
TA0005: Evasión de Defensa | T1027: Información o archivos ofuscados | El malware está utilizando ofuscador para eliminar sus nombres de métodos, nombres de clases, etc. |
TA0005: Evasión de Defensa | T1027: Información o archivos ofuscados | El malware utiliza el algoritmo Base64 para codificar y decodificar datos |
TA0005: Evasión de Defensa | T1027: Información o archivos ofuscados | El malware utiliza el algoritmo AES para cifrar y descifrar datos |
ANY.RUN está ejecutando una oferta por tiempo limitado, celebrando el séptimo Cyberbirthdsay
ANY.RUN es un sandbox interactivo de malware en la nube que puede extraer configuraciones de malware automáticamente para numerosas familias, ahorrando horas de esfuerzo a los investigadores.
El servicio está celebrando su 7º aniversario y invitando a todos los investigadores a probar funciones de análisis avanzadas que normalmente se reservan para planes profesionales, completamente gratis hasta el 5 de mayo. Esto incluye configurar el entorno de ejecución con Windows 8, 10 u 11.
Si descubre que ANY.RUN mejora su flujo de trabajo de análisis de malware, también le ofrecen una promoción limitadadisponible hasta el 5 de mayo: reciba 6 o 12 meses de uso gratuito cuando se registre para una suscripción anual o de dos añosrespectivamente.
Desglosando el algoritmo de descifrado de LimeRAT
Compartiremos una versión resumida del artículo aquí. Para obtener un recorrido completo y el análisis ampliado, diríjase a ANY. El blog de RUN si está interesado en obtener más información sobre el flujo de trabajo que emplearon.
Dado que la muestra que se está revisando se escribió en .NET, los investigadores utilizaron DnSpy para examinar el código. Inmediatamente, fue obvio que se estaban empleando técnicas de ofuscación:
 |
| Resumen de muestra en DnSpy; tenga en cuenta que el uso de técnicas de ofuscación |
Un examen más detallado del código reveló una clase que se asemejaba a la configuración del malware. Dentro de esta clase, había un campo que contenía una cadena codificada y cifrada en base64.
 |
| Posiblemente, clase de configuración de malware |
Continuando con la inspección del código, los investigadores de ANY.RUN identificaron una función responsable de descifrar la cadena. Al emplear el filtro «Leer por» en DnSpy, rastrearon los métodos en los que se estaba leyendo la cadena, lo que llevó a un total de dos métodos. El primer método resultó infructuoso, pero el segundo parecía interesante:
 |
| La segunda referencia x es más interesante. Parece que usa nuestra cadena en el método WebClient.DownloadString |
Este método resultó ser el responsable del descifrado. Al examinarlo de cerca, fue posible reconstruir el proceso por el cual LimeRAT descifra su configuración:
- Instancias de la RijndaelGestionado y MD5CryptoServiceProvider las clases son instanciadas. Según MSDN, RijndaelGestionado es una implementación obsoleta del algoritmo de cifrado AES (INGLETE T1027), mientras MD5CryptoServiceProvider calcula hash MD5.
- Se genera una matriz de 32 bytes, inicializada con ceros, para almacenar la clave AES.
- La clave se crea calculando primero el hash MD5 de una cadena distinta dentro de la clase de configuración (en nuestro análisis, la cadena es «20[.]199.13.167»).
- Los 15 bytes iniciales, seguidos de los primeros 16 bytes del hash calculado, se copian en la matriz previamente establecida. El elemento final de la matriz sigue siendo cero.
- La clave derivada se asigna a la propiedad clave del RijndaelGestionado instancia, mientras que la propiedad Mode está configurada como CipherMode.ECB.
- En última instancia, la cadena principal se decodifica a través de la Base64 algoritmo y descifrado usando el AES256-ECB algoritmo.
Descifrar la cadena reveló un enlace a una nota de PasteBin: https://pastebin[.]com/raw/sxNJt2ek. Dentro de esta nota, estaba el servidor de Comando y Control (C2) de LimeRAT:
 |
| LimeRATs C2 descubierto con datos descifrados |
Para concluir
Esperamos que haya encontrado útil esta breve descripción general de nuestro proceso de descifrado de configuración de LimeRAT. Para un examen más completo, diríjase a la artículo completo en el blog de ANY.RUN, para obtener contexto adicional sobre los pasos y verificar el proceso de descifrado usando CyberChef.
Además, recuerda que CUALQUIERA. Actualmente, RUN ofrece ofertas por tiempo limitado, con descuentos en suscripciones y un conjunto de características ampliadas para planes gratuitos, incluida la capacidad de configurar entornos de ejecución con los sistemas operativos Windows 8, 10 y 11. Esta oferta vence el 5 de mayo.
Esta es una oportunidad ideal para probar ANY.RUN y determinar si agiliza su flujo de trabajo, o para asegurar una suscripción a un precio inmejorable y obtener los beneficios de un ahorro de tiempo significativo a través del análisis estático y de comportamiento.
Para obtener más información sobre esta oferta, visite CUALQUIER.EJECUTAR/planes.