Kahekordse kasuliku koormusega pahavara kampaania
Äsja avastatud pahavarakampaania on küberturbekogukonnas märkimisväärset tähelepanu pälvinud, kuna see suudab samaaegselt levitada kahte erinevat ohtu. Ühte hägustatud laadurit kasutatakse nii Gh0st RAT-i kui ka CloverPlus-i samasse nakatunud süsteemi toimetamiseks.
See kombinatsioon on nii haruldane kui ka väga strateegiline. Gh0st RAT võimaldab nakatunud masina täielikku kaugjuhtimist, samas kui CloverPlus keskendub brauseritegevuse manipuleerimisele, reklaamikomponentide sisestamisele ja tulu teenimisele pealetükkivate hüpikakende kaudu. Kahekordne juurutamine võimaldab ohutegelastel säilitada püsivat volitamata juurdepääsu, teenides samal ajal nakkusest reaalajas raha.
See kampaania toob esile kasvava trendi mitme kasuliku koormuse edastamise suunas, kus ründajad maksimeerivad ühe ohuga saavutatud tegevuse efektiivsust ja rahalist tulu.
Sisukord
Varjamise taktika: kasuliku koorma varjamine
Selle kampaania keskmes olev laadur on loodud vargsi tegutsemiseks. See manustab oma ressursisektsiooni kaks krüpteeritud kasulikku lasti, kasutades traditsiooniliste tuvastusmehhanismide vältimiseks hägustamistehnikaid.
Käivitamine algab CloverPlus reklaamvara mooduliga, mis on identifitseeritud kui AdWare.Win32.CloverPlus ja seotud käivitatava failiga nimega wiseman.exe. See komponent muudab brauseri käivitusseadeid ja kuvab püsivaid hüpikreklaame.
Seejärel hindab laadur oma täitmisteed. Kui see ei tööta süsteemi %temp% kataloogist, loob see enne jätkamist endast sinna koopia. Järgmine etapp hõlmab Gh0st RAT kliendimooduli dekrüpteerimist, mis on samuti krüpteeritud ressursina peidetud pahavara binaarfailis.
Pärast dekrüpteerimist määrab pahavara kasulikule sisule juhusliku failinime ja salvestab selle C:\-draivi juurkataloogis asuvasse juhuslikult nimetatud kausta, mis raskendab veelgi tuvastamist ja analüüsi.
Maast väljas elamine: usaldusväärsed tööriistad, pahatahtlik kavatsus
Dekrüpteeritud kasuliku sisu käivitamiseks kasutab pahavara legitiimset Windowsi utiliiti rundll32.exe. See lähenemisviis võimaldab pahatahtliku koodi käivitamist usaldusväärse süsteemiprotsessi varjus, vähendades oluliselt turvakaitse käivitumise tõenäosust.
Kui Gh0st RAT on aktiivne, hakkab see nakatunud süsteemi profileerima, kogudes unikaalseid identifikaatoreid, nagu MAC-aadress ja kõvaketta seerianumber. Neid andmeid kasutatakse ohvri registreerimiseks ründaja juhtimis- ja juhtimisinfrastruktuuris, tagades nakatunud hostide täpse jälgimise ja haldamise.
Püsivuse mehhanismid: pikaajalise juurdepääsu tagamine
Selle kampaania peamine eesmärk on säilitada ligipääs pärast süsteemi taaskäivitamist. Gh0st RAT saavutab püsivuse mitme operatsioonisüsteemi sügavale integreeritud tehnika abil:
Windowsi käivitusregistri võtme muutmine automaatse käivitamise tagamiseks käivitamisel
Pahatahtliku DLL-faili registreerimine kaugjuurdepääsu teenuse teekonnal kaustas SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip
Need meetodid annavad pahavarale SÜSTEEMI tasemel õigused iga kord, kui seotud teenus käivitatakse, välistades vajaduse edasise kasutaja sekkumise järele ja tugevdades pikaajalist kontrolli.
Avastamine ja kaitsmine: kompromissi näitajad
Selle kampaania mõju on märkimisväärne nii üksikisikutele kui ka organisatsioonidele. Samal ajal kui reklaamvara komponent häirib brauseri funktsionaalsust ja suurendab pahatahtliku reklaami ohtu, võimaldab RAT-komponent andmete varastamist, klahvivajutuste logimist, turvameetmete möödahiilimist ja püsivat privilegeeritud juurdepääsu.
Turvameeskonnad peaksid jääma valvsaks ja jälgima järgmisi ohtude märke:
- Rundll32.exe käivitamine DLL-ide või mittestandardsete faililaiendite laadimiseks ebatavalistest või kahtlastest kataloogidest
- Protsessi tegevus, mis pärineb kaustast %temp%
- Registri käivitusvõtmete või RemoteAccess teenuse konfiguratsioonide volitamata muudatused
- Pingipõhiste viivituste kasutamine liivakasti tuvastamise vältimiseks
- Ebanormaalsed DNS-liikluse mustrid ja ootamatud muudatused süsteemi hostifailis
Ennetav jälgimine ja kiire reageerimine neile signaalidele on selle keeruka kahekordse ohuga pahavarakampaania ohtude leevendamiseks üliolulised.
