Klingon RAT
La tendenza degli autori di malware che si rivolgono al linguaggio di programmazione open source Golang per le loro creazioni sembra solo rafforzarsi. Di conseguenza, il numero di malware scritto in Golang non è mai stato così alto. Anche l'aumento del livello di sofisticatezza mostrato dalle minacce è stato significativo. Uno di questi minacciosi Trojan di accesso remoto è stato rilevato di recente dai ricercatori di infosec, che hanno chiamato la minaccia Klingon RAT.
Il Klingon RAT ha attirato per la prima volta l'attenzione dei ricercatori grazie al suo codice più unico. Questo è un evento piuttosto raro nello spazio delle minacce informatiche: i creatori di malware spesso riutilizzano grandi blocchi di codice per ridurre il tempo necessario per completare un nuovo strumento minaccioso. Il Klingon RAT possiede le solite caratteristiche che ci si aspetta da una minaccia RAT. Tuttavia, oltre a questi, è stato dotato di misure ampiamente ampliate contro prodotti di sicurezza, meccanismi di persistenza e metodi per l'escalation dei privilegi.
Attività iniziale
Una delle prime azioni intraprese dal Klingon RAT su un sistema compromesso è tentare di eliminare oltre 500 diversi processi associati ai prodotti di sicurezza antimalware. La minaccia controlla i processi attivi sul sistema e li confronta con un elenco di processi mirati. Qualsiasi processo corrispondente verrà quindi terminato tramite il comando task kill.
HKEY_LOCAL_MACHINE
Software\Microsoft\Windows NT\Versione corrente\Accessibilità
HKEY_CURRENT_USER
Software\Microsoft\Windows NT\Versione corrente\Opzioni di esecuzione file immagine\magnify.exe
Per garantire la sua continua presenza sulle macchine violate, il Klingon RAT avvia diversi schemi di persistenza. La minaccia crea due chiavi di esecuzione del Registro di sistema: una in Utente corrente e una in Macchina locale. Il Klingon RAT può anche dirottare il binario per Microsoft Screen Magnifier - magnify.exe, e forzarlo a eseguire il malware stesso. Ciò si ottiene tramite le Opzioni di esecuzione del file immagine che consentono di contrassegnare e utilizzare qualsiasi eseguibile come strumento di "debugger". Affinché questa tecnica funzioni, il malware si assicura che le seguenti due chiavi di registro esistano nel sistema:
Il Klingon RAT utilizza anche "WMIC" per generare una sottoscrizione di eventi che funge da meccanismo di persistenza che avvierà il payload danneggiato entro 60 secondi dopo ogni avvio di Windows. Un'altra tecnica consente al malware di modificare la chiave "WinLogon" e forzarla a eseguire il RAT durante l'avvio di Windows.
Infine, il Klingon RAT genera un'attività pianificata con il nome "OneDriveUpdate" che può anche mantenere la sua persistenza sul sistema. Affinché l'attività venga configurata, la minaccia rilascia prima un file XML chiamato "elevtor.xml" in APPDATA.
Aumentare i suoi privilegi Priv
Oltre alle sue estese tecniche di persistenza, il Klingon RAT è anche dotato di modi altrettanto estesi per aumentare i suoi privilegi sul sistema violato. La minaccia determinerà innanzitutto se non dispone già dei diritti di amministratore eseguendo due controlli. Il Klingon RAT proverà ad aprire '\\\\.\\PHYSICALDRIVE0;' e, se non riesce, tenterà di aprire '\\\\.\\SCSI0.' Se nessuno dei due controlli ha esito positivo, la minaccia avvierà le sue routine di escalation dei privilegi.
Il Klingon RAT sfrutterà una chiave di registro specifica ed eseguirà un programma chiamato computerdefaults.exe per completare il processo. Un altro exploit simile al precedente riguarda il programma 'Features on Demand Helper' (Fodhelper.exe). È un binario con l'impostazione 'autoeleva' impostata su true. Anche l'attività pianificata 'SilentCleanup' potrebbe essere sfruttata. Gli attori delle minacce abusano del fatto che funzioni con i privilegi più elevati possibili, pur mantenendo la possibilità di essere avviato da utenti senza privilegi. I ricercatori di Infosec hanno trovato un'altra tecnica: il bypass UAC "Visualizzatore eventi" nel codice di Klingor RAT. Tuttavia, questa funzionalità sembra essere implementata in modo errato negli attuali campioni della minaccia.
Il Klingon RAT è solo l'ultimo prodotto Golang lanciato dai creatori di malware. Rafforza ulteriormente il filo del passaggio dei criminali informatici a questo linguaggio di programmazione quando si tratta del loro minaccioso toolkit. I singoli utenti e le organizzazioni dovrebbero iniziare ad adottare misure appropriate nella loro strategia di sicurezza informatica per tenere conto di questa nuova ondata di minacce.
