Klingon RAT

मैलवेयर लेखकों की अपनी रचनाओं के लिए ओपन-सोर्स प्रोग्रामिंग भाषा गोलंग की ओर रुख करने का चलन केवल मजबूत होता जा रहा है। नतीजतन, गोलांग में लिखे गए मैलवेयर की संख्या कभी अधिक नहीं रही। खतरों से प्रदर्शित परिष्कार के स्तर में वृद्धि भी महत्वपूर्ण रही है। इस तरह के एक खतरनाक रिमोट एक्सेस ट्रोजन का हाल ही में इन्फोसेक शोधकर्ताओं ने पता लगाया था, जिन्होंने खतरे को क्लिंगन आरएटी नाम दिया था।

क्लिंगन आरएटी ने सबसे पहले अपने सबसे अनोखे कोड के कारण शोधकर्ताओं का ध्यान खींचा। साइबरथ्रेट स्पेस में यह एक असामान्य घटना है - मैलवेयर निर्माता अक्सर एक नए, खतरनाक टूल को पूरा करने के लिए आवश्यक समय को कम करने के लिए कोड के बड़े हिस्से का पुन: उपयोग करते हैं। क्लिंगन आरएटी में आरएटी खतरे की अपेक्षा की जाने वाली सामान्य विशेषताएं हैं। हालांकि, उनमें से शीर्ष पर, यह सुरक्षा उत्पादों, दृढ़ता तंत्र और विशेषाधिकार वृद्धि के तरीकों के खिलाफ व्यापक रूप से विस्तारित उपायों से लैस है।

प्रारंभिक गतिविधि

एक समझौता प्रणाली पर क्लिंगन आरएटी द्वारा की गई पहली कार्रवाइयों में से एक एंटी-मैलवेयर सुरक्षा उत्पादों से जुड़ी 500 से अधिक विभिन्न प्रक्रियाओं को मारने का प्रयास करना है। खतरा सिस्टम पर सक्रिय प्रक्रियाओं की जाँच करता है और उनकी तुलना लक्षित प्रक्रियाओं की सूची से करता है। किसी भी मिलान प्रक्रिया को टास्क किल कमांड के माध्यम से समाप्त कर दिया जाएगा।

HKEY_LOCAL_MACHINE
सॉफ्टवेयर\Microsoft\Windows NT\CurrentVersion\Accessibility

HKEY_CURRENT_USER
Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe

टूटी हुई मशीनों पर अपनी निरंतर उपस्थिति सुनिश्चित करने के लिए, क्लिंगन आरएटी कई अलग-अलग दृढ़ता योजनाएं शुरू करता है। खतरा दो रजिस्ट्री रन कुंजियाँ बनाता है - एक वर्तमान उपयोगकर्ता के अंतर्गत और एक स्थानीय मशीन पर। क्लिंगन आरएटी माइक्रोसॉफ्ट स्क्रीन मैग्निफायर - magnify.exe के लिए बाइनरी को भी हाईजैक कर सकता है, और इसे मैलवेयर को निष्पादित करने के लिए मजबूर कर सकता है। यह छवि फ़ाइल निष्पादन विकल्पों के माध्यम से प्राप्त किया जाता है जो किसी भी निष्पादन योग्य को फ़्लैग करने और 'डीबगर' टूल के रूप में उपयोग करने की अनुमति देता है। इस तकनीक के काम करने के लिए, मैलवेयर यह सुनिश्चित करता है कि सिस्टम पर निम्नलिखित दो रजिस्ट्री कुंजियाँ मौजूद हैं:

क्लिंगन आरएटी एक घटना सदस्यता उत्पन्न करने के लिए 'डब्लूएमआईसी' को भी नियोजित करता है जो एक दृढ़ता तंत्र के रूप में कार्य करता है जो प्रत्येक विंडोज बूट के बाद 60 सेकंड के भीतर दूषित पेलोड शुरू कर देगा। एक अन्य तकनीक मैलवेयर को 'WinLogon' कुंजी को संशोधित करने और इसे Windows स्टार्टअप के दौरान RAT चलाने के लिए बाध्य करने की अनुमति देती है।

अंत में, क्लिंगन आरएटी 'वनड्राइवअपडेट' नाम के तहत एक निर्धारित कार्य उत्पन्न करता है जो सिस्टम पर अपनी दृढ़ता बनाए रख सकता है। कार्य को कॉन्फ़िगर करने के लिए, खतरा पहले APPDATA में 'elevtor.xml' नामक एक XML फ़ाइल छोड़ता है।

इसके विशेषाधिकार बढ़ाना

अपनी व्यापक दृढ़ता तकनीकों के अलावा, क्लिंगन आरएटी भंग प्रणाली पर अपने विशेषाधिकारों को बढ़ाने के लिए समान रूप से व्यापक तरीकों से लैस है। खतरा पहले यह निर्धारित करेगा कि क्या उसके पास पहले से ही दो जाँच करके व्यवस्थापक अधिकार नहीं हैं। क्लिंगन RAT '\\\\.\\PHYSICALDRIVE0;' खोलने का प्रयास करेगा। और, यदि यह ऐसा करने में विफल रहता है, तो यह '\\\\.\\SCSI0' खोलने का प्रयास करेगा। यदि दोनों में से कोई भी जांच सफल नहीं होती है, तो खतरा अपने विशेषाधिकार वृद्धि रूटीन को शामिल कर लेगा।

क्लिंगन आरएटी एक विशिष्ट रजिस्ट्री कुंजी का उपयोग करेगा और प्रक्रिया को पूरा करने के लिए computerdefaults.exe नामक एक प्रोग्राम चलाएगा। पिछले वाले के समान एक अन्य कारनामे में कार्यक्रम 'फीचर्स ऑन डिमांड हेल्पर' (Fodhelper.exe) शामिल है। यह एक बाइनरी है जिसकी 'ऑटोलेवेट' सेटिंग सत्य पर सेट है। निर्धारित कार्य 'साइलेंटक्लीनअप' का भी फायदा उठाया जा सकता है। धमकी देने वाले अभिनेता इस तथ्य का दुरुपयोग करते हैं कि यह उच्चतम संभव विशेषाधिकारों के साथ चलता है जबकि गैर-विशेषाधिकार प्राप्त उपयोगकर्ताओं द्वारा शुरू करने की क्षमता को बनाए रखता है। इन्फोसेक के शोधकर्ताओं ने क्लिंगोर आरएटी के कोड में एक और तकनीक - 'इवेंट व्यूअर' यूएसी बाईपास' पाया। हालांकि, यह कार्यक्षमता खतरे के मौजूदा नमूनों में गलत तरीके से लागू की गई प्रतीत होती है।

क्लिंगन आरएटी मालवेयर क्रिएटर्स द्वारा जारी किया जाने वाला नवीनतम गोलंग उत्पाद है। यह साइबर अपराधियों के इस प्रोग्रामिंग भाषा पर स्विच करने के धागे को और मजबूत करता है जब उनके धमकी देने वाले टूलकिट की बात आती है। खतरों की इस नई लहर के लिए व्यक्तिगत उपयोगकर्ताओं और संगठनों को अपनी साइबर सुरक्षा रणनीति में उचित उपाय करना शुरू कर देना चाहिए।