DiscordRAT 2.0 — Discordを利用するリモート管理ツール(解析)

Security
DiscordRAT 2.0 — Discordを利用するリモート管理ツール(解析)

DiscordRAT 2.0 — Discordを利用するリモート管理ツール(解析)

Discord-RAT-2.0はC#で実装されたリモート管理ツール(RAT)で、Discordをコマンド&コントロール(C2)チャネルとして利用する設計が特徴です。トークン窃取やウェブカメラ取得、ルートキットとの統合、ビルダー機能など多数のポストエクスプロイトモジュールを備え、出力ファイルが非常に小さい点も注目されます。本稿では構成・技術的特徴・防御策に焦点を当てて非実践的に解説します(教育・分析目的)。

https://github.com/elishakiseya/Discord-RAT-2.0

概要

Discord-RAT-2.0はC#で書かれたリモート管理ツール(RAT)で、Discordプラットフォームを操作・通信の媒介として利用する点が最大の特徴です。リポジトリにはトークン窃取モジュール、ウェブカメラ取得、ルートキットとの連携、そしてペイロードを生成するビルダーなどが含まれており、ポストエクスプロイト系のモジュールは40以上とされます。作成される出力バイナリが約75KBと小型である点は、配布や検出回避を念頭に置いた設計が想像されます。本記事は機能の紹介と技術的観点からの解析、ならびに防御・対応の観点を中心に非実践的にまとめます。

GitHub

リポジトリの統計情報

  • スター数: 71
  • フォーク数: 0
  • ウォッチャー数: 71
  • コミット数: 30
  • ファイル数: 5
  • メインの言語: C#

主な特徴

  • DiscordをC2チャネルとして利用することで正規サービスを悪用する通信を行う点
  • トークン窃取、ウェブカメラ取得などのポストエクスプロイトモジュールを多数収録
  • ルートキット(r77系)の統合や外部コンポーネントを用いたエスカレーションの痕跡
  • ペイロード生成用のビルダーを含み、配布用バイナリを作成可能(リポジトリの説明に基づく)

技術的なポイント

(以下は教育・分析目的の高レベルな解説であり、悪用方法や具体的手順は記載していません)

本プロジェクトはC#/.NETエコシステムを用いており、Windows環境を主対象に設計されていると推定されます。Discordを制御チャネルとして利用する設計は、攻撃者が正規のクラウドサービス経由でコマンドを配布することでネットワーク上での検出を難しくする典型的な手法の一つです。Discord APIやボット機能、あるいはWebhookを通じたメッセージ取得・送信を行えば、トラフィックはHTTPS/TLSで保護され、一般的なネットワーク検出によるフィルタリングの目を潜りやすくなります。

リポジトリ内に「Token grabber」「Webcam」「rootkit」等のディレクトリが存在する点から、端末上の機密情報取得(Discordセッション・トークンなど)やカメラ取得機能を備えていることがわかります。またREADMEはルートキット(r77)に関するクレジットを含んでおり、カーネルやドライバレベルでの隠蔽や持続性確保を目的とした外部コンポーネントの利用が示唆されます。こうしたコンポーネントは検出回避や持続的侵害に用いられることが多く、セキュリティ上のリスクが高いです。

出力ファイルが約75KBという表記は、単一の小型実行ファイル・セルフコンテイン型アセンブリを意図している可能性があり、不要な依存を避けつつ機能を凝縮していることを示唆します。一方で小型化や難読化、自己展開型の技術は防御側の解析を難しくするため、マルウェア解析の際は静的解析と動的解析を組み合わせて振る舞いを確認する必要があります。

防御視点では、Discordを悪用する攻撃はサービス自体の正常な利用とトラフィックが似通うため、ネットワーク指標だけで完全に識別するのは困難です。プロセスの挙動監視、未知の実行ファイルのサンドボックス解析、エンドポイント検出と対応(EDR)の導入、ユーザーのトークン管理(多要素認証、トークンの回収・無効化)、不要な権限の削減といった多層防御が重要となります。また、ルートキット等の低レベルの脅威に対してはブート時整合性チェックやセキュアブート、カーネル整合性監視などの対策が有効です。

プロジェクトの構成

主要なファイルとディレクトリ:

  • Discord rat: dir
  • README.md: file
  • Token grabber: dir
  • Webcam: dir
  • builder: dir

(上記はリポジトリの表層的な構成であり、詳細な実装解析や実行手順はここでは扱いません)

まとめ

教育・研究領域での解析価値は高いが、実運用環境での悪用リスクが大きい。

リポジトリ情報:

READMEの抜粋:

DiscordRAT 2.0

Discord Remote Administration Tool fully written in c#.

This is a RAT controlled over Discord with over 40 post exploitation modules.

The output file size also around ~75kb!

Disclaimer:

This tool is for educational use only, the author will not be held responsible for any misuse of this tool.

Credits

The rootkit in the project was made by “bytecode77”. The source of the rootkit can be found here: https:///bytecode77/r77-rootkit

Setup Guide:

Download th…

注意:本記事はリポジトリの技術的特徴と防御観点に関する解説を目的としたものであり、ツールの作成・配布・悪用を助長する情報は含めていません。セキュリティ担当者や研究者は、法令と倫理を順守したうえで解析・検証を行ってください。