How to Detect RAT/Keyloggers

 

ကြ်န္ေတာ္လည္း ဘေလာ့ကုိ လွည့္မၾကည့္တာ ေတာ္ေတာ္ၾကာပါျပီ။ ကြ်န္ေတာ္တုိ႔ အင္တာနက္မွာ ဟုိဖုိင္ဒီဖုိင္ေဒါင္းလုတ္ေတြဆြဲတာ အခန္႔မသင့္ရင္ RAT/Keylogger ေတြပါလာႏုိင္တယ္။ သတိမထားမိရင္ေပါ့။ သာမန္ RAT/Keylogger ေတြေလာက္ေတာ့ AV ေတြက သိပါတယ္။ Avira Internet Security ကုိသာ အင္စေတာ့လုပ္ရင္ လုံျခဳံတယ္လုိ႔ဆုိႏုိင္ပါတယ္။ သူက အင္တာနက္ကုိ TCP establish လုပ္တာကအစ Warming ေပးပါတယ္။ ခုနည္းကေတာ့ လြယ္လြယ္ကူကူ ကုိယ့္စက္မွာ RAT ရွိေနသလားဆုိတာ သိႏုိင္တဲ့နည္းပါ။ ကြ်န္ေတာ္ကုိယ္တုိင္လည္း ေသခ်ာေတာ့ မေျပာတတ္ပါဘူး။ သူမ်ားဖုိရမ္ကေန ေရးထားတာေလးကုိေတြ႕မိလုိ႔ ဒီအတုိင္းပဲ screenshot ကအစ တုိက္ရုိက္ ျပန္ရွယ္လုိက္တာ။ :D

အရင္ဆုံး Windows ရဲ႕ Task Manager (Ctr+Alt+Del) ကုိေခၚလုိက္ပါ။ ျပီးရင္ Process tab ကုိေခၚျပီး View>Select Columns ကေန PID(Process Identifiers) ကုိေရြးထားပါ။

ဒါဆုိရင္ Windows မွာ Run ေနတဲ့ သက္ဆုိင္ရာ process အလုိက္ PID number နဲ႔တြဲျပီး ေအာက္ကလုိ ေတြ႕ႏုိင္ပါျပီ။

ျပီးရင္ CMD ကုိေခၚျပီး "netstat -ano" command ကုိေခၚလုိက္ပါ။

ဒါဆုိ ေအာက္ကလုိေတြ႕ရပါမယ္။ ဒီထဲက "ESTABLISHED" ဆုိတာကုိေတြ႕ရမယ္။ ေဘးနားက PID နဲ႔ပါတြဲျပီးမွတ္ထားပါ။ "ESTABLISHED" လုပ္တယ္ဆုိတာ ကုိယ့္စက္မွာ run ေနတဲ့ program က အင္တာနက္ဆီကုိ ေဒတာ establish လုပ္ေနတာပါ။ ဒါကေတာ့ ေျပာရရင္ program update လုပ္ေနတာ ဒါမွမဟုတ္ uploading တစ္ခုခုျဖစ္ႏုိင္ပါတယ္။

  ေကာင္းျပီ။ အဲဒါကုိ ခုနက Task manager ကုိျပန္သြားျပီး PID နဲ႔တုိက္ဆုိင္စစ္ၾကည့္လုိက္ပါ။

အင္း Established လုပ္ေနတာ PID 3464 နဲ႔ Task Manager နဲ႔ျပတာက Dropbox.exe ဆုိတာေတြ႕ရပါတယ္။ ဒီေတာ့ အဲဒီ run ေနတဲ့ Dropbox.exe ကုိေထာက္ျပီး Open File Location နဲ႔ဖြင့္လုိက္ပါ။ တကယ္အမွန္အကန္ dropbox ဖုိင္ဆုိရင္ သက္ဆုိင္ရာ Dropbox install လုပ္ထားတဲ့ Directory ဆီကုိေရာက္သြားပါမယ္။ မဟုတ္ရင္ Rat ဘာညာေပါ့။ ေနာက္ Establish မွာျပတဲ့ PID က Taskmanager မွာ svchost.exe ဘာညာျပတယ္ဆုိရင္ RAT/Keylogger အျဖစ္သိေစအပ္ပါတယ္။ :D
ဒီလုိဆုိရင္ေတာ့ Virustotal မွာ အဲဒီဖုိင္ကုိစစ္ေဆးၾကည့္ဖုိ႔ လုိပါလိမ့္မယ္။

Credit: Uber.org