Hoe HabitsRAT
HabitsRAT is een Trojan voor externe toegang (RAT) die voor het eerst werd ontdekt toen het aanvallen uitvoerde op gecompromitteerde Microsoft Exchange-servers. De makers van de dreiging lijken hun werking echter uit te breiden door een aparte versie van HabitsRAT te ontwikkelen, die op Linux-machines draait. Beide varianten van de malware zijn geschreven in de programmeertaal Go van Google - een relatief nieuwe trend onder malware-ontwikkelaars. Het goede nieuws is dat HabitsRAT niet zo rijk is aan functies in vergelijking met andere bedreigingen die worden geïdentificeerd als RAT's - het primaire doel is om de operator in staat te stellen externe code uit te voeren op de gecompromitteerde machine. Hoewel het misschien aan functies ontbreekt, heeft het een aantal interessante mechanismen om ervoor te zorgen dat niemand anders het implantaat kan gebruiken - alle opdrachten die ernaar worden verzonden, moeten worden ondertekend met de unieke privésleutel van de operator. Als dit stukje informatie ontbreekt, zal de HabitsRAT het commando niet uitvoeren.
De Windows-versie van de HabitsRAT is veel actiever dan de Linux-tegenhanger. Wanneer het wordt geïmplementeerd op een Windows-machine, laat de malware zijn bestanden achter met de naam 'WindowsDefenderMsMpEng.exe' - dit kan gebruikers die het bestand tegenkomen, laten denken dat het een onderdeel is van de Windows Defender-service. Natuurlijk probeert de RAT ook doorzettingsvermogen te krijgen door een nieuwe geplande taak te maken met de naam WindowsDefenderScan. Zodra deze taken zijn voltooid, maakt het verbinding met een van de vooraf gedefinieerde command-and-control-servers en wacht op instructies. De communicatie tussen het HabitsRAT-implantaat en de controleserver wordt altijd versleuteld met de privésleutel van de operator.
De ontwikkelaars van deze malware gebruiken waarschijnlijk de Go-taal omdat daarin geschreven malware meestal moeilijker te detecteren is door sommige geautomatiseerde antimalwaretools. Gelukkig duren dergelijke uitzonderingen niet lang, en u kunt er zeker van zijn dat de aanval van HabitsRAT volledig te voorkomen is met het gebruik van een up-to-date antivirussoftwarepakket.