DRAT V2: Aktualisiertes DRAT erscheint im Arsenal von TAG-140

Executive Summary

Bei einer Untersuchung einer kürzlich durchgeführten TAG-140-Kampagne, die auf indische Regierungsorganisationen abzielte, identifizierte die Insikt Group eine modifizierte Variante des DRAT Remote Access Trojaners (RAT), die wir als DRAT V2 bezeichneten. TAG-140 weist Überschneidungen mit SideCopy auf, einer operativen Untergruppe, die als Subcluster oder operativer Partner von Transparent Tribe eingestuft wird (auch als APT36, ProjectM oder MYTHIC LEOPARD verfolgt). TAG-140 hat immer wieder eine iterative Weiterentwicklung und Vielfalt in seinem Malware-Arsenal und seinen Verbreitungstechniken unter Beweis gestellt. Diese jüngste Kampagne, bei der das indische Verteidigungsministerium über ein geklontes Pressemitteilungsportal gefälscht wurde, markiert eine leichte, aber bemerkenswerte Verschiebung sowohl in der Malware-Architektur als auch in der Command-and-Control-Funktionalität (C2).

Die Bereitstellung von DRAT V2 spiegelt die Weiterentwicklung der Remote-Access-Tools von TAG-140 wider, indem von einer .NET-basierten Version von DRAT zu einer neuen, in Delphi kompilierten Variante übergegangen wird. Beide Versionen gehören zu den zahlreichen RATs, die die Gruppe eingesetzt hat, wie z. B. CurlBack, SparkRAT, AresRAT, Xeno RAT, AllaKore und ReverseRAT, was auf ein Muster der rotierenden Malware-Nutzung hinweist. DRAT V2 aktualisiert sein benutzerdefiniertes, TCP-basiertes, serverinitiiertes C2-Protokoll und erweitert die funktionalen Fähigkeiten, einschließlich der Ausführung beliebiger Shell-Befehle und einer verbesserten Interaktion mit dem Dateisystem.

Die Analyse der Infektionskette deutet darauf hin, dass der erste Zugriff über einen Social-Engineering-Köder im ClickFix-Stil erfolgte. Die Opfer wurden dazu verleitet, ein bösartiges Skript über mshta.exe auszuführen, Dies führte zur Ausführung des BroaderAspect .NET-Loaders, der zuvor von TAG-140 verwendet wurde. BroaderAspect stellt die Persistenz und anschließende Installation und Ausführung von DRAT V2 her.

Die Insikt Group schreibt diese Aktivität basierend auf Überschneidungen in der Domain, der Abstammung der Malware und den Eigenschaften mit ziemlicher Sicherheit der Infrastruktur TAG-140 zu. Die Verbesserungen von DRAT V2 deuten auf eine wahrscheinliche Erhöhung der Kapazität von TAG-140 für maßgeschneiderte Post-Exploitation und laterale Bewegungen in Opfernetzwerken hin. Daher ist sein Auftreten ein relevanter Indikator für die fortschreitende Entwicklung der Fähigkeiten des Bedrohungsakteurs und dessen strategische Zielsetzung auf Indiens Verteidigungs- und Regierungseinrichtungen.

Wichtige Erkenntnisse

• DRAT V2 fügt einen neuen Befehl (exec_this_comm) für die Ausführung beliebiger Shell-Befehle hinzu und verbessert so die Flexibilität nach der Ausnutzung.
• Die Malware verschleiert ihre C2-IP-Adressen mithilfe von Base64-Kodierung und vorangestellten Zeichenfolgen, um eine einfache Dekodierung zu erschweren.
• Im Vergleich zu seinem Vorgänger reduziert DRAT V2 die Verschleierung von Zeichenketten, indem es die meisten Befehlskopfzeilen im Klartext belässt, wobei wahrscheinlich die Zuverlässigkeit der Analyse Vorrang vor der Tarnung hat.
• DRAT V2 aktualisiert sein benutzerdefiniertes, serverinitiiertes TCP-Protokoll, um Befehle sowohl in ASCII als auch in Unicode zu unterstützen, während es nur in ASCII antwortet.
• DRAT V2 verfügt nicht über fortschrittliche Anti-Analyse-Techniken und verlässt sich auf grundlegende Infektions- und Persistenzmethoden, wodurch es über statische und Verhaltensanalysen erkennbar ist.

Hintergrund

TAG-140 ist eine Gruppe von Bedrohungsakteuren, die sich mit der öffentlich gemeldeten Gruppe Sidecopy überschneidet, einer mutmaßlich staatsnahen pakistanischen Advanced Persistent Threat (APT)-Gruppe, die als Untercluster oder operativer Ableger von Transparent Tribe (auch als APT36, ProjectM oder MYTHIC Leopard verfolgt) eingestuft wird. TAG-140 ist seit mindestens 2019 aktiv und richtet sich in erster Linie an indische Unternehmen, wobei sich die jüngsten Aktivitäten über den traditionellen Regierungs-, Verteidigungs-, Schifffahrts- und Wissenschaftssektor hinaus auf Organisationen ausgeweitet haben, die mit den Eisenbahn-, Öl- und Gas- und Außenministerien des Landes verbunden sind.

Die Gruppe hat eine kontinuierliche Weiterentwicklung ihrer Methoden an den Tag gelegt (1, 2, 3): Sie nutzt Spearphishing-Kampagnen, verwendet HTML-Anwendungen (HTAs) oder Microsoft Installer (MSI)-Pakete zur Verbreitung, nutzt Software-Schwachstellen (z. B. WinRAR) und verwendet viele verschiedene RATs wie CurlBack, SparkRAT, AresRAT, Xeno RAT, AllaKore, ReverseRAT und DRAT. Ihre Infektionsketten zielen üblicherweise sowohl auf Windows- als auch auf Linux-Umgebungen ab.

Die Insikt Group analysierte Artefakte aus einer kürzlich durchgeführten ClickFix-Kampagne, die das indische Ministerium fälschte und die wir TAG-140-Bedrohungsakteuren zugeschrieben haben. TAG-140 erstellte eine gefälschte Website, die das offizielle Pressemitteilungsportal des indischen Verteidigungsministeriums unter Verwendung der bösartigen Domain email[.]gov[.]in[.]drdosurvey[.]Info, die der legitimen Regierungswebsite mod[.]gov[.]in (urlscan.io). Die geklonte Website replizierte die Struktur und das Layout des authentischen Portals und listete Pressemitteilungen von September 2023 bis April 2025 auf. Aktiv war allerdings nur der Link für März 2025.

Abbildung 1: Geklontes Portal des Verteidigungsministeriums (Quelle: Hunt.io)

Das Klicken auf den aktiven Link vom März 2025 löste einen Social-Engineering-Angriff im Stil von ClickFix aus. Die Insikt Group führte eine zusätzliche Analyse der TAG-140-Windows-Infektionskette durch und stellte fest, dass sie einer Infektionskette ähnelt, die von Seqrite Labs in ihrer Forschung zur TAG-140-Aktivität gemeldet wurde, die Ende 2024 identifiziert wurde. Unsere Analyse der Infektionskette (Abbildung 2) zeigt, dass es sich bei der endgültigen Nutzlast um eine neue Delphi-basierte Variante von DRAT (DRAT V2) handelt. Zuvor wurde DRAT in .NET entwickelt und im Jahr 2023 erstmals der SideCopy-Aktivität zugeschrieben . Die aktualisierte Variante enthält neue Befehlsfunktionen und ein leicht modifiziertes C2-Protokoll.

Figur 2: TAG-140-Infektionskette droppt DRAT V2 (Quelle: Recorded Future)

1. Der Benutzer wird auf die folgende URL (urlscan.io) weitergeleitet. Obwohl wir den verwendeten Zustellungsmechanismus nicht kennen, wird dies auf der Grundlage der Taktiken, Techniken und Verfahren (TTPs) von TAG-140 wahrscheinlich als Spearphishing-E-Mail zugestellt, die den Benutzer dazu verleitet, auf den Link zu klicken. Der Benutzer wird dann dazu verleitet, auf den Link "March 2025 Release" zu klicken. Wenn Sie auf einem Windows-Computer auf diesen Link klicken, wird der Benutzer zum URI (Uniform Resource Identifier) /captcha/windows.php weitergeleitet.

2. Die umgeleitete Website (urlscan.io) zeigt die Warnung „**Disclosure – For Official Use Only (FOUO)**“ an und fordert den Benutzer auf, auf „Weiter“ zu klicken.

3. Wenn Sie auf "Weiter" klicken, wird JavaScript ausgeführt, das den unten aufgeführten bösartigen Befehl in die Zwischenablage kopiert und den Benutzer anweist, ihn in einer Befehlsshell einzufügen und auszuführen. Der Befehl verwendet mshta.exe, um ein Remote-Skript (index.php/sysinte.hta) abzurufen und auszuführen. von der Infrastruktur des TAG-140 _trade4wealth[.]in_.

4. Die Ausführung von index.php/sysinte.hta erstellt und führt den BroaderAspect-Loader aus, über den erstmals von Seqrite Labs berichtet wurde . BroaderAspect führt die folgenden Aktionen aus:

ein. Lädt das Köderdokument herunter und öffnet es survey.pdf von der folgenden URL:

b. Erstellt und führt eine Windows-Batchdatei mit dem Namen noway.bat aus, der einen Befehl enthält, der die Persistenz für DRAT v2 einrichtet, indem einem von Microsoft definierten Autostartspeicherort ein Registrierungseintrag hinzugefügt wird

c. Lädt die DRAT V2-Payload von den folgenden URLs herunter und dekomprimiert sie:

d. Führt DRAT V2 mit dem folgenden Befehl aus:

Die Insikt Group ordnet diese Aktivität TAG-140 mit mäßigem Vertrauen zu, basierend auf den folgenden Aspekten:

1. Die Nachahmung und das Anvisieren indischer Verteidigungsorganisationen, wie das indische Verteidigungsministerium, stimmt mit bekannten TAG-140-Zielen überein.
2. Die Verwendung von BroaderAspect-Loader und DRAT (beide Varianten), die beide anscheinend ausschließlich von TAG-140 (1, 2) verwendet werden, stimmt mit TAG-140 TTPs überein.
3. Die Domain email[.]gov[.]in[.]drdosurvey[.]Info überschneidet sich mit anderen APT36-Angriffen (1, 2) und verwendet Namecheap als Hosting-Provider. Wir haben in mehreren Fällen beobachtet, dass TAG-140 häufig Namecheap zusammen mit GoDaddy und Hostinger verwendet (1, 2, 3, 4).
4. Zusätzlich zu DRAT V2 hat TAG-140 zuvor Delphi-basierte Malware verwendet, wie zum Beispiel die Open-Source-Software AllaKore RAT.

Technische Analyse

DRAT V2 ist ein leichtgewichtiger RAT, der in Delphi entwickelt wurde und eine Weiterentwicklung der früheren .NET-basierten Variante darstellt, die erstmals TAG-140 im Jahr 2023 zugeschrieben wurde. DRAT V2 führt mehrere Aktualisierungen gegenüber seinem Vorgänger ein, darunter:

• Ein Update seines benutzerdefinierten, vom TCP-Server initiierten C2-Protokolls.
• Erweiterte Base64-Verschleierung der C2-Infrastruktur mit hinzugefügten vorangestellten Zeichenfolgen
• Aktualisierte Befehlsheader und ein neuer Befehl zur Ausführung beliebiger Windows-Befehle

Eine Übersicht auf hoher Ebene über DRAT V2 wird in Abbildung 3 bereitgestellt.

Figur 3: DRAT V2 Zusammenfassung (Quelle: Recorded Future)

DRAT V2 unterstützt eine Reihe von Befehlen, die es TAG-140-Operatoren ermöglichen, eine breite Palette von Interaktionen mit kompromittierten Hosts durchzuführen. Nach dem Aufbau der Kommunikation wartet die Malware passiv auf Anweisungen vom Command-and-Control-Server (C2). Zu den unterstützten Operationen gehören die Systemaufklärung, wie das Sammeln des Benutzernamens, der Betriebssystemversion, der Systemzeit und des aktuellen Arbeitsverzeichnisses, sowie die Validierung der Konnektivität und die Aufzählung lokaler Dateisysteme und Verzeichnisse.

Über die Aufklärung hinaus ermöglicht DRAT V2 eine aktivere Interaktion mit der Zielumgebung. Es ermöglicht Dateiübertragungen in beide Richtungen zwischen dem Host und der C2-Infrastruktur, sodass die Betreiber zusätzliche Nutzlasten hochladen oder Daten exfiltrieren können. Zusätzlich unterstützt es die Ausführung lokaler Dateien und beliebiger Windows-Shell-Befehle und gibt die Ausgabe an das C2 zurück. Diese Funktionen bieten TAG-140 eine dauerhafte und flexible Kontrolle über das infizierte System und ermöglichen sowohl automatisierte als auch interaktive Aktivitäten nach der Ausnutzung, ohne dass zusätzliche Malware-Tools bereitgestellt werden müssen. Abbildung 4 bietet eine Zusammenfassung der Fähigkeiten von DRAT V2.

Figur 4: DRAT V2 Fähigkeitsmatrix (Quelle: Recorded Future)

DRAT V2 Befehle

DRAT V2 verwendet weiterhin eine Befehlsschnittstelle, die ein benutzerdefiniertes, textbasiertes TCP-Protokoll ist, das vom Server initiiert wird, um Fernsteuerungsfunktionen über einen kompromittierten Host zu unterstützen. Die Ausführung von Befehlen, die Manipulation von Dateien und die Aufklärung des Systems werden durch ein strukturiertes Format ermöglicht.

Das DRAT V2-Befehlsprotokoll zeichnet sich durch die Verwendung von Tilde (~) und Pipe (|) als Trennzeichen aus. Sobald die Verbindung mit ihrer C2-Infrastruktur hergestellt ist, wechselt die Malware in einen passiven Zustand und wartet auf eingehende Anweisungen vom Server. Diese Anweisungen umfassen neun verschiedene Befehlstypen (Tabelle 1), die Fähigkeiten wie Host-Erkennung, Dateiverwaltung und direkte Ausführung beinhalten. Jeder Befehl folgt einem deterministischen Format, das es dem Operator ermöglicht, Aktionen nach der Kompromittierung konsistent und mit geringem Aufwand zu orchestrieren.

Tabelle 1: DRAT V2-Befehle (Quelle: Recorded Future)

Dieser Befehlssatz ermöglicht es TAG-140, eine Reihe von Post-Exploitation-Zielen zu unterstützen, einschließlich Host-Aufklärung, Daten-Staging und potenzieller lateraler Bewegungen. Insbesondere erweitert DRAT V2 die Funktionalität seines Vorgängers durch die Integration der Unterstützung für die Ausführung beliebiger Befehle. Anhang B enthält detaillierte Aufschlüsselungen der einzelnen Befehle, einschließlich der Parameter.

Abbildung 5 zeigt ein Beispiel für die C2-Kommunikation zwischen einem infizierten Host und dem C2. In diesem Beispiel sendet der C2-Server den Befehl exec_this_comm~whoami, der den infizierten Host anweist, den Befehl whoami auszuführen. Der infizierte Host antwortet dann mit der Ausgabe des Befehls.

Abbildung 5: DRAT V2-Befehlsausführung, Anforderungs- und Antwortpakete, die von Wireshark aufgezeichnet und angezeigt werden (Quelle: Recorded Future)

DRAT vs DRAT V2

Diese vergleichende Analyse hebt die technischen und betrieblichen Unterschiede zwischen dem ursprünglichen DRAT und DRAT V2 hervor. Der Wechsel der Entwicklungsplattformen markiert einen bedeutenden architektonischen Übergang, der beeinflusst, wie die Malware kompiliert, ausgeführt und möglicherweise entdeckt wird. Obwohl beide Varianten ähnliche Kernfunktionen wie leichte RATs beibehalten, führt DRAT V2 bedeutende Verbesserungen in seiner Befehlsstruktur, den C2-Verschleierungstechniken und dem Kommunikationsprotokoll ein, während es gleichzeitig die Verwendung der String-Verschleierung minimiert. Diese Anpassungen spiegeln wahrscheinlich die kontinuierlichen Bemühungen von TAG-140 wider, ihre Tools weiterzuentwickeln, um eine bessere Umgehung, Modularität und Flexibilität bei Post-Exploitation-Operationen zu erreichen.

Befehlsheader-Variation

Während beide DRAT-Varianten ähnliche Befehle für die Remote-Verwaltung implementieren, verwendet jede Version unterschiedliche Namenskonventionen für Befehlsheader. Zum Beispiel hat der Systeminformationsbefehl von DRAT die Bezeichnung getInformitica, während DRAT V2 initial_infotonas verwendet. DRAT V2 führte auch einen neuen Befehl, exec_this_comm, ein, der die Ausführung beliebiger Shell-Befehle auf dem infizierten Host ermöglicht, eine Verbesserung, die im ursprünglichen DRAT nicht vorhanden war und auf erweiterte Funktionen nach der Ausnutzung hinweist. Die folgende Vergleichstabelle (Tabelle 2) zeigt eine detaillierte, zeilenweise Aufschlüsselung der Anforderungs- und Antwortheader in beiden Versionen. In dieser Tabelle kennzeichnen grün hervorgehobene Befehlszuordnungen Befehle, die funktional in beiden Varianten beibehalten werden, während gelb hervorgehobene Elemente neue Ergänzungen darstellen, die exklusiv für DRAT V2 verfügbar sind.

Tabelle 2: Befehlsvergleich zwischen DRAT und DRAT V2 (Quelle: Recorded Future)

Textformat in C2-Kommunikation

Beide Versionen nutzen textbasierte Kommunikationsprotokolle für Command-and-Control-Interaktionen (C2). Allerdings unterscheiden sie sich in den Codierungsanforderungen: DRAT V2 akzeptiert Befehle sowohl in Unicode als auch in ASCII, antwortet jedoch immer in ASCII, während das ursprüngliche DRAT Unicode sowohl für die Eingabe als auch für die Ausgabe vorschreibt (Abbildung 6).

Abbildung 6: DRAT V1-Listenvolumenanforderung und -antwort, aufgezeichnet und angezeigt von Wireshark (Quelle: Recorded Future)

Unterschiede in Systeminformationen

Die Systeminformationsantwort beider Versionen weist viele Ähnlichkeiten auf, aber einige Unterschiede umfassen den Text in Unicode, unterschiedliche Befehlsanforderungsheader und WinDefender anstelle von win-def, die beide hartcodiert sind. Schließlich variiert das Format der Windows-Version in der Systeminformationsantwort zwischen DRAT und DRATV2. DRAT gibt einfach den Wert aus dem Registrierungsschlüssel Software\Microsoft\Windows NT\CurrentVersion\ProductName zurück, während DRAT V2 die Windows-Version mithilfe des API-Aufrufs GetVersionExW() abruft und eine benutzerdefinierte Zeichenfolge zurückgibt, die im Quellcode Base64-codiert ist. Tabelle 3 zeigt die Unterschiede zwischen den beiden Befehlen.

Tisch 3: DRAT vs. DRAT V2 Systeminformationen Anforderungs- und Antwortfelder (Quelle: Recorded Future)

Unterschiede in der C2-Obfuskation

In beiden DRAT-Varianten sind die C2-Informationen Base64-codiert. DRAT codiert die C2-IP-Adresse direkt, während DRAT V2 seinen Ansatz zur C2-Verschleierung ändert, indem er der IP-Adresse vor der Base64-Codierung eine der folgenden Zeichenfolgen voranstellt:

• <><><><><><><><><><><>
• XXXXXXXXXXXXXXXXXXXXXX

Diese vorangestellten Muster dienen wahrscheinlich als rudimentäre Integritätsprüfungen oder helfen, eine triviale Dekodierung durch Analysten und automatisierte Werkzeuge zu verhindern.

String-Verschleierung

Strategien zur Zeichenkettenobfuskierung unterscheiden sich ebenfalls zwischen den Varianten. DRAT verwendet ein umfangreicheres Schema, das einen Substitutionsalgorithmus nutzt, um sowohl Befehle als auch Betriebszeichenfolgen zu kodieren. DRAT V2 hingegen verschleiert selektiv Zeichenfolgen, wie die Windows-Version und C2-Informationen, belässt jedoch die Befehlsheader im Klartext. Dieser begrenzte Verschleierungsansatz in DRAT V2 könnte einen Kompromiss zwischen Tarnung und Zuverlässigkeit der Analyse darstellen.

Erkennungen

Erkennungen

Schnauben

• Erkennen Sie ausgehende C2-Kommunikation von DRAT-Malware: Verwenden Sie diese Snort-Regeln, um ausgehende DRAT- und DRAT V2 C2-Kommunikation zu identifizieren.

Sigma

• Erkennung der TAG-140-Persistenz über den Run-Schlüssel: Verwenden Sie diese Sigma-Regel, um TAG-140-Angriffe zu identifizieren, die Persistenz durch das Erstellen eines Registrierungsschlüssels über eine Batchdatei herstellen, wenn der Batchdatei die abschließenden Anführungszeichen im Befehl fehlen.

YARA

• Erkennen des BroaderAspect Loader, der von TAG-140 verwendet wird: Verwenden Sie diese YARA-Regel, um Dateien zu erkennen, die Zeichenfolgen enthalten, die mit der BroaderAspect-Malware verknüpft sind, einschließlich .pdf und .bat-Dateien. Dateierweiterungen und spezifische Malware-Kennungen.
• Erkennen Sie DotNet- und Delphi-Varianten der DRAT-Malware, die von TAG-140 verwendet wird: Verwenden Sie diese YARA-Regeln, um DRAT und DRAT V2 zu erkennen

Gegenmaßnahmen

• Blockieren oder überwachen der ausgehenden TCP-Verbindungen zu ungewöhnlichen Zielports, die von DRAT V2 für C2-Operationen genutzt werden, wie 3232, 6372 und 7771. Überwachung des anomalen TCP-Verkehr, der nicht mit bekannten Protokollen übereinstimmt, die auf hoch nummerierte Ports abzielen.
• Überwachung des Netzwerkverkehrs auf ausgehende Befehlsantworten und eingehende Shell-Befehlsanweisungen (Anhang B), die in Base64-, ASCII- oder Unicode-Formaten kodiert sind. Betonen Sie die Dekodierung und Inspektion des Datenverkehrs, insbesondere bei TCP-Sitzungen, die über ungewöhnliche Ports aufgebaut werden.
• Verwendung von Erkennungsregeln in diesem Bericht, um die Ausführung und Persistenz von DRAT V2 über Registrierungsschlüssel, dateibasierte Loader und codierte C2-Muster zu identifizieren. Setzen Sie benutzerdefinierte YARA-Regeln ein, um sowohl .NET- als auch Delphi-kompilierte DRAT-Proben zu erkennen.
• Implementieren Sie die Erkennungslogik, um zu überwachen, die Remoteskripts aufruft oder sekundäre Nutzlasten startet. Dies ist eine Schlüsselkomponente in der Infektionskette, in der bösartige HTA-Skripte DRAT-Loader wie BroaderAspect abrufen und starten.
• Überwachen Sie Registrierungsänderungsereignisse, insbesondere solche, die HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run betreffen. TAG-140 verwendet diese für die Persistenz, indem DRAT V2 über getarnte Dateinamen in C:\Users\Public</span> ausgeführt wird.

Ausblick

Die Bereitstellung von DRAT V2 durch TAG-140 entspricht der langjährigen Praxis der Gruppe, eine breite und austauschbare Suite von Remote-Access-Trojanern zu pflegen. Diese fortgesetzte Diversifizierung erschwert die Zuordnung, Erkennung und Überwachung von Aktivitäten. DRAT V2 scheint eher eine weitere modulare Ergänzung als eine endgültige Weiterentwicklung zu sein, was die Wahrscheinlichkeit erhöht, dass TAG-140 weiterhin RATs über Kampagnen hinweg rotieren wird, um Signaturen zu verschleiern und die operative Flexibilität zu bewahren.

Trotz dieser Herausforderungen zeigt die DRAT V2-Infektionskette einen begrenzten Einsatz von Techniken zur defensiven Umgehung oder Anti-Analyse. Das Fehlen von Code-Verschleierung, Sandbox-Umgehung oder komplexem Loader-Verhalten erhöht die Wahrscheinlichkeit einer frühzeitigen Erkennung durch grundlegende Telemetrie und statische Analyse. Sicherheitsteams sollten damit rechnen, dass weiterhin mit Malware-Tools und Infektionsketten experimentiert wird. Die Überwachung der Spearphishing-Infrastruktur, der Wiederverwendung von Loadern und von Verhaltensindikatoren wird entscheidend sein, um die Sichtbarkeit der TAG-140-Aktivitäten aufrechtzuerhalten.

Anhang A: Indikatoren für Kompromittierungen

Anhang B: DRAT V2-Befehlsparameter und -Antworten

Systeminformationen

Der Befehl initial_infotonas initiiert die Erkundung auf Systemebene, indem er Details zur Hostumgebung anfordert, einschließlich Benutzername, Betriebssystemversion, Zeitstempel und Arbeitsverzeichnis. Die Antwort ist in sieben Felder gegliedert.

Echo/Verbindungstest

Der Befehl sup wird verwendet, um die aktive Kommunikation mit dem kompromittierten Host zu überprüfen.

Volumes auflisten

Mit dem Befehl lst_of_sys_drvs kann DRAT V2 auf dem Zielcomputer zugängliche logische Laufwerke auflisten.

Verzeichnisse mit Attributen auflisten

Der Befehl here_are_dir_details ruft strukturierte Metadaten für Verzeichnisse und Dateien ab, einschließlich Name, Größe, Zeitstempel und Pfad. Insbesondere enthält die Implementierung einen Fehler, bei dem der vollständige Pfad nicht ordnungsgemäß mit nachfolgenden Einträgen verkettet wird, was sich möglicherweise auf die Analyse von Operatoren auswirkt.

Dateigröße

Der Befehl filina_for_down wird verwendet, um die Bytegröße einer angegebenen Datei abzurufen.

Datei-Upload

Der Befehl file_upl~ unterstützt die Übertragung von Dateien vom C2 auf den Zielhost. Der Befehl erfordert die Angabe des Dateipfads und der Dateigröße, was das Staging der Nutzlast oder die Bereitstellung sekundärer Tools erleichtert.

Dateiausführung

Der Befehl this_filina_exec führt eine angegebene Datei auf dem Hostsystem aus. Diese Funktion ermöglicht die Bereitstellung zusätzlicher Nutzlasten oder die Ausführung vorhandener Binärdateien innerhalb des lokalen Dateisystems.

Dateidownload

Der Befehl fil_down_confirmina ermöglicht die Exfiltration von Dateien vom Opfersystem auf den C2-Server. Im Gegensatz zu anderen Antworten gibt es keinen Antwortheader, und nur der Inhalt der Rohdatei wird an den C2 gesendet.

Befehlsausführung

Der Befehl exec_this_comm ermöglicht die Ausführung beliebiger Shell-Befehle auf dem infizierten Host. Dies sorgt für erhebliche Flexibilität bei interaktiven Vorgängen und ermöglicht die Aufgabenerledigung in Echtzeit sowie On-Demand-Aktivitäten nach der Nutzung.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.