클링 온 RAT
멀웨어 작성자가 자신의 창작물을 위해 오픈 소스 프로그래밍 언어 인 Golang을 사용하는 경향은 점점 더 강해지는 것으로 보입니다. 그 결과 Golang으로 작성된 악성 코드의 수가 그 어느 때보 다 많았습니다. 위협으로 표시되는 정교함 수준의 상승도 중요했습니다. 이러한 위협이되는 원격 액세스 트로이 목마는 최근에 Klingon RAT 위협이라고 명명 한 infosec 연구원에 의해 탐지되었습니다.
Klingon RAT는 가장 독특한 코드로 인해 처음으로 연구자들의 관심을 끌었습니다. 이것은 사이버 위협 공간에서 흔하지 않은 일입니다. 맬웨어 제작자는 종종 새로운 위협 도구를 완성하는 데 필요한 시간을 줄이기 위해 많은 양의 코드를 재사용합니다. Klingon RAT는 RAT 위협에서 예상되는 일반적인 특성을 가지고 있습니다. 그러나 그 외에도 보안 제품, 지속성 메커니즘 및 권한 상승 방법에 대한 대폭 확장 된 조치를 갖추고 있습니다.
초기 활동
Klingon RAT가 손상된 시스템에 대해 취한 첫 번째 조치 중 하나는 맬웨어 방지 보안 제품과 관련된 500 개 이상의 서로 다른 프로세스를 죽이는 것입니다. 위협은 시스템의 활성 프로세스를 확인하고 대상 프로세스 목록과 비교합니다. 일치하는 모든 프로세스는 task kill 명령을 통해 종료됩니다.
HKEY_LOCAL_MACHINE
Software \ Microsoft \ Windows NT \ CurrentVersion \ Accessibility
HKEY_CURRENT_USER
Software \ Microsoft \ Windows NT \ CurrentVersion \ Image 파일 실행 옵션 \ magnify.exe
침해 된 시스템에 지속적으로 존재하도록하기 위해 Klingon RAT는 여러 가지 지속성 체계를 시작합니다. 이 위협은 두 개의 레지스트리 실행 키를 생성합니다. 하나는 현재 사용자이고 다른 하나는 로컬 컴퓨터입니다. Klingon RAT는 또한 Microsoft Screen Magnifier (magnify.exe)의 바이너리를 가로 채서 악성 코드 자체를 실행하도록 할 수 있습니다. 이는 모든 실행 파일에 플래그를 지정하고 '디버거'도구로 사용할 수있는 이미지 파일 실행 옵션을 통해 수행됩니다. 이 기술이 작동하려면 맬웨어는 다음 두 레지스트리 키가 시스템에 있는지 확인합니다.
또한 Klingon RAT는 'WMIC'를 사용하여 모든 Windows 부팅 후 60 초 이내에 손상된 페이로드를 시작하는 지속성 메커니즘 역할을하는 이벤트 구독을 생성합니다. 또 다른 기술은 맬웨어가 'WinLogon'키를 수정하고 Windows 시작 중에 RAT를 실행하도록합니다.
마지막으로 Klingon RAT는 시스템에서 지속성을 유지할 수있는 'OneDriveUpdate'라는 이름으로 예약 된 작업을 생성합니다. 구성 할 작업에 대해 위협은 먼저 APPDATA에 'elevtor.xml'이라는 XML 파일을 드롭합니다.
권한 상승
광범위한 지속성 기술 외에도 Klingon RAT는 침해 된 시스템에 대한 권한을 상승시킬 수있는 광범위한 방법을 갖추고 있습니다. 위협은 먼저 두 가지 검사를 수행하여 아직 관리자 권한이 없는지 확인합니다. Klingon RAT는 '\\\\. \\ PHYSICALDRIVE0;'을 열려고 시도합니다. 그렇게하지 못하면 '\\\\. \\ SCSI0'을 열려고 시도합니다. 두 가지 검사가 모두 성공하지 않으면 위협은 권한 상승 루틴을 사용합니다.
Klingon RAT는 특정 레지스트리 키를 악용하고 computerdefaults.exe라는 프로그램을 실행하여 프로세스를 완료합니다. 이전 공격과 유사한 또 다른 공격은 'Features on Demand Helper'(Fodhelper.exe) 프로그램입니다. 'autoelevate'설정이 true로 설정된 바이너리입니다. 예약 된 작업 'SilentCleanup'도 악용 될 수 있습니다. 위협 행위자는 권한이없는 사용자가 시작할 수있는 능력을 유지하면서 가능한 가장 높은 권한으로 실행된다는 사실을 악용합니다. Infosec 연구원들은 Klingor RAT의 코드에서 또 다른 기술인 '이벤트 뷰어'UAC 우회 '를 발견했습니다. 그러나이 기능은 현재 위협 샘플에서 잘못 구현 된 것으로 보입니다.
Klingon RAT는 멀웨어 제작자가 공개 한 최신 Golang 제품입니다. 이는 사이버 범죄자들이 위협적인 툴킷과 관련하여이 프로그래밍 언어로 전환하는 스레드를 더욱 강화합니다. 개별 사용자와 조직은 이러한 새로운 위협에 대처하기 위해 사이버 보안 전략에서 적절한 조치를 취해야합니다.
