Atroposia RIUŠĖ
„Atroposia“ yra komerciškai parduodamas nuotolinės prieigos Trojos arklys (RAT), reklamuojamas pogrindiniuose forumuose. Jis suteikia savo operatoriams gilią, slaptą pažeistų sistemų kontrolę ir platų įrankių rinkinį duomenims vogti, tinklo elgesiui manipuliuoti ir sistemų pažeidžiamumui ieškoti. Dėl plačių galimybių ir apėjimo funkcijų bet koks patvirtintas „Atroposia“ buvimas įrenginyje turi būti nedelsiant pašalintas.
Kenkėjiškos programinės įrangos grėsmė potencialiems „klientams“ siūloma trimis mokėjimo lygiais:
Mėnesio nuoma: 200 USD
Kas ketvirtį: 500 USD (tris mėnesius)
Pusmetinis: 900 USD (šeši mėnesiai)
Turinys
Slaptas veikimas, atkaklumas ir komandų kanalas
„Atroposia“ sukurta taip, kad liktų paslėpta. Ji gali automatiškai didinti privilegijas (apeinant UAC), naudoja kelis išsaugojimo metodus, kad išliktų po perkrovimo, ir yra sukurta taip, kad išvengtų antivirusinių programų aptikimo. Jos ryšys su operatoriaus komandų ir valdymo serveriais yra užšifruotas, o žiniatinklio stiliaus valdymo skydas supaprastina kenkėjiškų užduočių vykdymą net ir vidutiniškai įgudusiems nusikaltėliams.
Paslėptas nuotolinio valdymo pultas ir failų tvarkymas
Signatūrinė funkcija yra paslėptas nuotolinio darbalaukio komponentas (parduodama kaip „HRDP Connect“), kuris atidaro nematomą sesiją aukos kompiuteryje, kad nuotolinis veikėjas galėtų sąveikauti su darbalaukiu be matomų ženklų vartotojui. Papildant tai, „Atroposia“ apima failų tvarkyklę, leidžiančią užpuolikams naršyti diskus ir aplankus, ieškoti failų, atsisiųsti, ištrinti arba vykdyti juos nuotoliniu būdu.
Masinis surinkimas ir slaptas pakavimas
RAT turi griebtuvą, kuris ieško failų pagal plėtinį arba raktinį žodį ir sujungia atitikmenis į slaptažodžiu apsaugotą ZIP failą. Jis gali surinkti ir supakuoti duomenis tik atmintyje arba pasinaudoti integruotomis sistemos priemonėmis, taip sumažindamas likusių artefaktų kiekį diske ir apsunkindamas teismo ekspertizės aptikimą.
Galimybė vagystėms atlikti įgaliojimus ir piniginę
„Atroposia“ duomenų vagystės modulis renka įvairią neskelbtiną medžiagą: išsaugotus naršyklės slaptažodžius, verslo programų ir VPN klientų prisijungimo duomenis, pranešimų programų duomenis, slaptažodžių tvarkyklės duomenis (jei tokių yra) ir kriptovaliutų piniginės informaciją. Jis taip pat fiksuoja iškarpinės turinį (viską, ką vartotojas nukopijuoja ar iškirpa), registruoja ir saugo šiuos įrašus. Jis netgi gali perrašyti iškarpinės turinį, kad pakeistų nukopijuotus piniginės adresus ar prisijungimo duomenis – tai naudinga technika lėšų pasisavinimui ar paskyrų užgrobimui.
Tinklo manipuliavimas ir DNS užgrobimas
Kenkėjiška programa gali pakeisti DNS nustatymus arba kitaip perimti vardų paieškas, kad aukos naršyklė būtų tyliai nukreipta į užpuoliko kontroliuojamas apgaulingas svetaines (pvz., suklastotus prisijungimo puslapius). Kadangi naršyklė vis tiek gali rodyti laukiamą URL, aukos gali būti apgautos ir priversti įvesti prisijungimo duomenis, manydamos, kad yra teisėtoje svetainėje.
Pažeidžiamumų skenavimas ir eskalavimo galimybės
„Atroposia“ apima skaitytuvą, kuris tikrina užkrėstą kompiuterį, ieškodamas trūkstamų pataisų, silpnų konfigūracijų ir pasenusios programinės įrangos. Įmonių aplinkoje tai gali atskleisti vertingus taikinius – netaisytus VPN klientus, privilegijų eskalavimo klaidas ar kitus pavojus, – kuriuos užpuolikai išnaudoja, kad išplėstų prieigą tinkle.
Sistemos telemetrijos ir nuotolinio valdymo įrankiai
Be duomenų vagysčių ir nuotolinio darbalaukio valdymo, RAT renka sistemos metaduomenis (IP adresus, OS versiją, geolokaciją ir kitus aplinkos duomenis), gali išvardyti ir valdyti veikiančius procesus bei palaiko nuotolinio išjungimo ir perkrovimo operacijas. Įrankių rinkinyje taip pat yra papildomų, mažiau įtakos turinčių įrankių, kurie kartu suteikia platų veikimo lankstumą.
Kaip paprastai pasireiškia infekcijos
Kenkėjiški arba ginklu paversti dokumentai (pavyzdžiui, užkrėsti PDF failai ar kiti priedai, platinami el. paštu)
Programinės įrangos piratavimo paketai, automatiniai spragų išnaudojimai, netikros reklamos, netikros techninės pagalbos schemos, P2P / bendrinami failai, klaidinančios atsisiuntimo svetainės, trečiųjų šalių diegimo programos ir panašūs kanalai
Kodėl šie pristatymo metodai yra sėkmingi: užpuolikai naudojasi socialine inžinerija (padirbtais dokumentais, viliojančiais atsisiuntimais ar prašymais paleisti failus) arba piktnaudžiauja pažeidžiamumais ir apgaulingais diegimo įrankiais – dauguma užkrėtimų įvyksta, kai vartotojas apgaule įjungia kenkėjišką programą.
Poveikio santrauka
„Atroposia“ leidžia visapusiškai išgauti duomenis (failus, prisijungimo duomenis, iškarpinės duomenis, kriptovaliutų pinigines), slaptą nuotolinį valdymą, tinklo peradresavimą naudojant DNS klastojimą ir žvalgybą siekiant toliau išnaudoti duomenis. Dėl savo slaptos architektūros (privilegijų eskalavimas, duomenų išsaugojimas, pakavimas atmintyje, užšifruotas C2 ir paslėptos nuotolinės sesijos) ji yra ypač pavojinga tiek asmenims, tiek organizacijoms.
Momentinis atsakas
Jei sistemoje įtariama arba aptinkama atropozija, atjunkite įrenginį nuo tinklų, jei įmanoma, išsaugokite žurnalus analizei ir kuo greičiau pašalinkite kenkėjišką programą. Kadangi operatoriai gali naudoti surinktus prisijungimo duomenis ir šoninius maršrutus, bet kokį pažeidimą laikykite potencialiai plačiai paplitusiu ir apsvarstykite slaptažodžių kaitą, žetonų atšaukimą ir platesnio masto vidinio tyrimo atlikimą.
