Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara GHOSTFORM RAT

GHOSTFORM RAT

Aastaks Mezo aastal Pahavara, Kaughaldustööriistad
Tõlgi:

GHOSTFORM on .NET-põhine kaugjuurdepääsu trooja (RAT), mis on loodud mitme pahatahtliku funktsiooni ühendamiseks üheks käivitatavaks binaarfailiks. Pahavara käivitab PowerShelli skripte otse mälus, vähendades traditsiooniliste turvatööriistade abil avastamise tõenäosust. Turvamehhanismide edasiseks vältimiseks kasutab see selliseid tehnikaid nagu nähtamatud Windowsi vormid ja viivitatud täitmisaja taimerid. Tänu oma varjatud käitumisele ja ulatuslikele võimalustele peaks GHOSTFORMi tuvastamine käivitama viivitamatu eemaldamise ja intsidentidele reageerimise protseduurid.

Rünnakuahel üks: mitmeastmeline pahavara juurutamine

Esimene rünnakuahel algab parooliga kaitstud RAR-arhiivi edastamisega, mis sisaldab võltsitud rakendust, mis on loodud WinRAR-i meenutama. Kui ohver arhiivi avab, käivitatakse SPLITDROP-nimeline tilguti. See tilguti installib kaks täiendavat pahavara komponenti: TWINTASK ja TWINTALK.

SPLITDROP küsib ohvrilt esmalt parooli, et peidetud arhiiv lahti pakkida. Kui arhiiv on süsteemis juba olemas, siis täitmine peatub. Vastasel juhul dekrüpteerib dropper taustal manustatud sisu, kuvades kasutajale petliku veateate. Dekrüpteeritud sisu salvestatakse kataloogi 'C:\ProgramData\PolGuid', mille järel käivitatakse rünnaku edasiliikumiseks legitiimne käivitatav fail nimega VLC.exe.

Pärast VLC.exe käivitamist laadib see DLL-i külglaadimise kaudu pahatahtliku dünaamilise lingiteegi nimega TWINTASK. See komponent ootab ründaja juhiseid ja käivitab need PowerShelli abil. Süsteemis püsivuse loomiseks ja järgmise kompromiteerimise etapi alustamiseks kasutatakse mitmeid käske. Selle protsessi osana käivitab skript WingetUI.exe ja loob registrikirjed, mis tagavad, et nii VLC.exe kui ka WingetUI.exe käivituvad automaatselt iga kord, kui süsteem taaskäivitub.

TWINTALK ja TWINTASK: Koordineeritud käskude täitmine

WingetUI.exe käivitamisel laaditakse veel üks pahatahtlik moodul nimega TWINTALK. See komponent loob ühenduse ründaja käskude ja juhtimisserveriga ning hangib juhiseid. TWINTALK töötab koos TWINTASK-iga, et käivitada kahjustatud masinas käske.

TWINTALK toetab kolme peamist käskude kategooriat:

  • Käskude täitmine nakatunud seadmes
  • Faili allalaadimine ründaja infrastruktuurist
  • Failide üleslaadimine ohustatud süsteemist ründajale

Tänu nendele võimalustele saavad ründajad ulatusliku kontrolli nakatunud keskkonna üle.

Rünnakuahel kaks: otsene GHOSTFORMi hukkamine

Teine rünnakuahel kasutab GHOSTFORMi ennast kõigi esimese ahela mitme komponendi hallatavate funktsioonide täitmiseks. Mitme faili juurutamise või DLL-i külglaadimisele lootmise asemel käivitab see variant PowerShelli käske otse mälus.

Avastamata jäämiseks loob pahavara nähtamatu Windowsi vormi, mis viivitab enne kasuliku koormuse käivitamist. Lisaks kasutab kampaania sotsiaalse manipuleerimise peibutisena Google Formsi, et julgustada ohvreid pahatahtlikku tegevust alustama.

Vältimise ja püsivuse tehnikad

GHOSTFORM sisaldab mitmeid mehhanisme, mis on loodud tuvastamise vähendamiseks ja ohustatud süsteemidele pikaajalise juurdepääsu säilitamiseks. Pahavara viivitab tahtlikult oma tegevust, genereerides peaaegu nähtamatu Windowsi vormi, mis käivitab enne jätkamist juhuslikult määratud viivitusega taimerit.

See loob ka mutexi, et tagada ainult ühe pahavara eksemplari töötamine süsteemis, ja genereerib nakatunud masinate jälgimiseks unikaalse boti identifikaatori. Seda tüüpi kaugjuurdepääsuga troojalasi kasutatakse tavaliselt täiendavate koormuste levitamiseks, tundlike andmete ja failide varastamiseks või muude pahatahtlike toimingute tegemiseks ohvri keskkonnas.

Kampaaniaga tavaliselt seostatavad peamised võimed on järgmised:

  • Täiendavate pahavara koormuste juurutamine
  • Teabe ja failide vargus nakatunud seadmetest
  • Kaugkäskluste täitmine PowerShelli kaudu
  • Pikaajaline püsivus kahjustatud süsteemides

ClickFix sotsiaalne manipuleerimine: inimkeskne nakkusvektor

Kampaania ei tugine ainult pahavara levitamisele. See hõlmab ka sotsiaalse manipuleerimise tehnikat, mida tuntakse ClickFixi nime all, süsteemide rikkujaks. Ründajad loovad veenvaid võltsitud veebilehti, mis on loodud kasutajate manipuleerimiseks pahatahtlike käskude täitmiseks.

Näideteks on võltsitud Cisco Webexi koosolekukutsed või petturlikud veebivormid, mis näivad olevat õigustatud. Ohvritele antakse juhised käivitada käske, mis automaatselt pahavara alla laadivad ja käivitavad, algatades teadmatult kompromiteerimise.

Pahavara ja pettuse segamine

See kampaania demonstreerib koordineeritud lähenemisviisi, mis ühendab tehnilise pahavara juurutamise psühholoogilise manipuleerimisega. Ründajad levitavad pahatahtlikke faile, mis on maskeeritud kahjututeks programmideks, mis meenutavad WinRAR-i utiliite. Avamisel süstivad failid operatsioonisüsteemi peidetud pahavara komponente.

Pärast installimist töötab üks komponentidest vaikselt taustal, kontrollides perioodiliselt ründaja serverit krüptitud juhiste osas ja täites neid PowerShelli kaudu. Samal ajal tuginevad ClickFixi-tüüpi rünnakud võltsküsitlustele, petlikele koosolekukutsetele või petturlikele veebivormidele, et veenda kasutajaid käivitama pahavara allalaadimist käivitavaid käske.

Kombineerides täiustatud pahavaratööriistu nagu TWINTASK, TWINTALK ja GHOSTFORM hoolikalt loodud sotsiaalse manipuleerimise tehnikatega, suurendavad ohustajad oluliselt süsteemi ohtu seadmise edukust ja säilitavad nakatunud seadmete üle püsiva kaugkontrolli.

Trendikas

Enim vaadatud

Laadimine...