JelusRAT
JelusRAT on kaugjuurdepääsuga trooja (RAT), mis annab küberkurjategijatele varjatud kontrolli ohustatud arvutite üle. C++ keeles arendatud pahavara kasutab oma põhifaili dekrüpteerimiseks ja vabastamiseks spetsiaalset laadurit. Traditsioonilise failina installimise asemel käivitub pahavara otse mällu, vähendades oluliselt oma jalajälge kettale ja muutes tuvastamise raskemaks. Kui süsteemis tuvastatakse JelusRAT, on edasise ohu vältimiseks kriitilise tähtsusega selle kohene eemaldamine.
Sisukord
Varjatud laadur ja failideta täitmine
Nakatumise ahel algab laaduriga, mis maskeerub legitiimseks rakenduseks. See komponent peidab kahte krüpteeritud segmenti: üks sisaldab põhilist pahavara ja teine konfiguratsiooniandmeid. Pärast aktiveerimist dekrüpteerib laadur põhifaili ja käivitab selle otse süsteemimällu, misjärel kustutab laadur end tõendite kustutamiseks. See „failideta” tehnika on spetsiaalselt loodud traditsiooniliste turvakaitsevahendite ja kohtuekspertiisi analüüsi möödahiilimiseks.
Konfiguratsiooni haldamine ja varjatud taktika
Pärast käivitamist pääseb peamine koormus juurde konfiguratsioonifailile nimega Info.ini, et hankida operatiivseid juhiseid. Kohe pärast faili lugemist kustutab see selle, et minimeerida sissetungi jälgi. Selles failis olevad andmed hägustatakse ja pahavara kasutab esimeses baidis asuvat väikest manustatud väärtust juhiste dekodeerimiseks enne nende käivitamist.
Kaugjuhtimisvõimalused ja käskude käsitlemine
JelusRAT on loodud ründaja serverilt mitmesuguste käskude vastuvõtmiseks. See võib end kuulutada kriitiliseks süsteemiprotsessiks, mis tähendab, et iga katse seda jõuga sulgeda võib käivitada Windowsi sinise ekraani, mis pärsib käsitsi eemaldamist. Pahavara suudab selle funktsiooni ka keelata, muuta oma suhtlust oma juhtimis- ja juhtimisinfrastruktuuriga või sulgeda end vastavalt juhistele.
Pluginate abil töötav modulaarne platvorm
JelusRAT ei sisalda kõiki pahatahtlikke funktsioone sisemiselt, vaid toimib peamiselt raamistikuna. See saab ründaja serverist alla laadida täiendavaid DLL-pluginate kujul olevaid lisandmooduleid, laiendades seeläbi oma funktsionaalsust vastavalt vajadusele. Enamik selle võimalustest toimib nende moodulite kaudu, võimaldades ohutegelastel pahavara erinevate eesmärkide saavutamiseks kohandada ilma kogu koormust ümber paigutamata.
JelusRATi saab kasutada ka muud tüüpi pahavara levitamiseks, sealhulgas:
- Lunavara, krüptovaluuta kaevandajad ja teabe varastamise tööriistad
- Täiendavad pahatahtlikud programmid, mis süvendavad või laiendavad süsteemi ohtu seadmist
Miks JelusRAT kujutab endast tõsist ohtu
JelusRAT paistab silma salakavala ja väga paindliku ohuna. Selle mälusisene teostus, ennast kustutav käitumine ja pluginatel põhinev disain võimaldavad tal avastamist vältida, säilitades samal ajal püsiva ja kohanemisvõimelise kontrolli nakatunud süsteemide üle. Need omadused muudavad selle eriti ohtlikuks, kuna see võib kergesti toimida platvormina hävitavamale pahavarale ja ulatuslikele küberkuritegevuse operatsioonidele.
Levinumad nakkusvektorid ja levikumeetodid
Pahavara, näiteks JelusRAT, levib kõige sagedamini sotsiaalse manipuleerimise ja petlike veebitavade kaudu. Ründajad meelitavad ohvreid tavaliselt käivitama pahatahtlikke faile, mis on maskeeritud legitiimseks sisuks, sealhulgas käivitatavaid faile, skripte ja dokumendivorminguid, nagu Word, Excel, PDF või ISO-kujutised. Nakatumiskampaaniad tuginevad nende koormuste edastamiseks sageli andmepüügikirjadele, võltsreklaamidele, tehnilise toe pettustele, piraattarkvarale ja ohustatud veebisaitidele.
Teiste väljakujunenud levituskanalite hulka kuuluvad nakatunud USB-draivid, peer-to-peer võrgud, kolmandate osapoolte allalaadimisutiliidid ja parandamata tarkvara haavatavuste ärakasutamine. Enamasti toimub edukas nakatumine seetõttu, et kasutajaid petetakse tegema toimingut, mis annab pahavarale teadmatult jalgealuse.
