المجتمع الأكبر للعرب في مجال التك

تحميل من Google Playتحميل من App Store

HeartBeat APT

Amer Ahmed منذ 3 أسابيع

اخيرا وبفضل الله خلصت مشروع HeartBeat APT بعد عناء شهرين و شوية.

HeartBeat APT كان فيروس جامد فحت كان بيتارجت منظمات ليها علاقة بحكومة كوريا الجنوبية في 2012.

اتكلمت في بوست قبل كدا عنه و ازاي نظمته, فالبوست دا هوريك التنظيمة بتاعته على طريقة بشمهندس مازن بتاعت الcomponents اللي حرفيا وفرت عليا وقت و تعب.

باختصار الRAT Client بيتكلم مع C2 Server بس with a twist . ايه هي بقى؟ بيحصل authentication قبل ما الconnection يتقبل. خلي بالك المشروع كله بC فا انا كأني بعيد اختراع العجلة, كل التفاصيل دي شيرتها في playlist عاليوتيوب وتقدر تشوفه من هنا


الComponents:

  1. Decoy Document
    1. Bundled with RAT dropper/installer.
    2. User opens/extracts document.
    3. regular document opens and RAT installer is dropped/extracted and run in the background
  2. RAT Installer/Dropper
    1. Dropped using any of these filenames (mentioned in the report)
    2. Drops RAT.dll
    3. Persistence
      1. Register RAT.dll as service dll.
    4. Execution
      1. RAT.dll is injected to svchost.exe during startup
    5. Deletes Itself.
  3. RAT.dll
    1. Fake File Properties.
    2. C2 Communications.
      1. Registers itself to C2 server by sending:
        1. Computer Name.
        2. Local IP.
        3. Campaign Code.
        4. qawsed string.
          1. password authentication is via this string.
      2. Comms Encryption
        1. XOR encrypts the traffic with single byte key 02.
      3. Data size transferred/received is 2048 bytes in size.
    3. Backdoor Modules
      1. List Running Processes
      2. Download Files
      3. Upload Files
      4. Execute files
      5. Updates itself
      6. Uninstalls itself
      7. terminate a process
      8. list available removable and fixed drives
      9. Delete Files
      10. Get File/Folder creation date and time
      11. Remote command shell access
      12. Reboot the system
  4. C2 Server
    1. C2 Communications
      1. authenticate connecting client
      2. Comms Encryption
        1. XOR encrypts the traffic with single byte key 02
        2. Data size transferred/received is 2048 bytes in size.
    2. Server Commands
      1. lspid
      2. download remote_file local_path
      3. upload local_file remote_path
      4. run exe_file
      5. self-update local_new_version
      6. self-delete
      7. terminate PID
      8. list drives
      9. delete remote_file
      10. GetDate remote_file_or_folder
      11. shell
      12. reboot


مع تطبيق منهج الmodularity في C اللي ساعدني بشكل رهيب اني قدرت انظم الRAT modules من غير ما يبقى spaghetti code.

احب اشكر بشمهندس مازن تاني على طريقة تقسيم المشاريع اللي فعلا ساهمت اني المشروع يطلع بالجودة دي.

تقدر تلاقي الrepo على github هنا https://github.com/BiLLY-J03l/HeartBeat-APT


3 ردود

أضف رد