Klingon RAT

Trenden med malware-forfattere, der henvender sig til open source-programmeringssproget Golang for deres kreationer, ser ud til kun at blive stærkere. Som et resultat har antallet af malware skrevet i Golang aldrig været højere. Stigningen i niveauet af sofistikering, som truslerne viser, har også været betydelig. En sådan truende fjernadgang Trojan blev for nylig opdaget af infosec forskere, der kaldte truslen Klingon RAT.

Klingon RAT fangede først forskernes opmærksomhed på grund af sin mest unikke kode. Dette er en ret usædvanlig begivenhed i cybertrusselrummet - malware-skabere genbruger ofte store stykker kode for at reducere den nødvendige tid til at færdiggøre et nyt, truende værktøj. Klingon RAT besidder de sædvanlige egenskaber, der forventes af en RAT-trussel. På toppen af dem er det imidlertid udstyret med meget udvidede foranstaltninger mod sikkerhedsprodukter, vedholdenhedsmekanismer og metoder til eskalering af privilegier.

Indledende aktivitet

En af de første handlinger, der er taget af Klingon RAT på et kompromitteret system, er at forsøge at dræbe over 500 forskellige processer forbundet med anti-malware sikkerhedsprodukter. Truslen kontrollerer de aktive processer på systemet og sammenligner dem med en liste over målrettede processer. Enhver matchningsproces afsluttes derefter via kommandoen task kill.

HKEY_LOCAL_MACHINE
Software \ Microsoft \ Windows NT \ CurrentVersion \ Tilgængelighed

HKEY_CURRENT_USER
Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ magnify.exe

For at sikre dens fortsatte tilstedeværelse på de igangværende maskiner igangsætter Klingon RAT flere forskellige persistensordninger. Truslen skaber to registreringsdatabase-kørselsnøgler - en under Nuværende bruger og en på Local Machine. Klingon RAT kan også kapre binærprogrammet til Microsoft Screen Magnifier - magnify.exe og tvinge det til at udføre selve malware. Dette opnås via Image File Execution Options, der gør det muligt at markere enhver eksekverbar fil og bruge den som et 'fejlretningsværktøj'. For at denne teknik skal fungere, sørger malware for, at følgende to registreringsnøgler findes på systemet:

Klingon RAT anvender også 'WMIC' til at generere et begivenhedsabonnement, der fungerer som en persistensmekanisme, der starter den beskadigede nyttelast inden for 60 sekunder efter hver Windows-opstart. En anden teknik giver malware mulighed for at ændre 'WinLogon' nøglen og tvinge den til at køre RAT under Windows opstart.

Endelig genererer Klingon RAT en planlagt opgave under navnet 'OneDriveUpdate', der også kan opretholde sin vedholdenhed på systemet. For at den opgave, der skal konfigureres, dropper truslen først en XML-fil kaldet 'elevtor.xml' i APPDATA.

Eskalerende privilegier

Bortset fra dens omfattende vedholdenhedsteknikker er Klingon RAT også udstyret med lige så omfattende måder at eskalere sine privilegier på det brudte system. Truslen vil først afgøre, om den ikke allerede har administratorrettigheder ved at udføre to kontroller. Klingon RAT vil prøve at åbne '\\\\. \\ PHYSICALDRIVE0;' og hvis den ikke gør det, forsøger den derefter at åbne '\\\\. \\ SCSI0.' Hvis ingen af kontrollerne er vellykkede, vil truslen inddrage dens rutiner for optrapning af privilegier.

Klingon RAT vil udnytte en bestemt registreringsnøgle og køre et program kaldet computerdefaults.exe for at fuldføre processen. En anden udnyttelse svarende til den foregående involverer programmet 'Features on Demand Helper' (Fodhelper.exe). Det er en binær, der har sin 'autoelevate' indstilling sat til true. Den planlagte opgave 'SilentCleanup' kunne også udnyttes. Trusselaktørerne misbruger det faktum, at det kører med de højest mulige privilegier og samtidig opretholder evnen til at blive initieret af uprivilegerede brugere. Infosec-forskere fandt endnu en teknik - 'Event Viewer' UAC bypass 'i Klingor RATs kode. Denne funktion ser imidlertid ud til at være implementeret forkert i de aktuelle eksempler på truslen.

Klingon RAT er bare det nyeste Golang-produkt, der frigøres af malware-skabere. Det forstærker yderligere tråden fra cyberkriminelle, der skifter til dette programmeringssprog, når det kommer til deres truende værktøjssæt. Individuelle brugere og organisationer bør begynde at træffe passende foranstaltninger i deres cybersikkerhedsstrategi for at tage højde for denne nye bølge af trusler.