JelusRAT
„JelusRAT“ yra nuotolinės prieigos Trojos arklys (RAT), suteikiantis kibernetiniams nusikaltėliams slaptą pažeistų kompiuterių kontrolę. Sukurtas C++ kalba, jis naudoja specializuotą įkroviklį, kad iššifruotų ir paleistų pagrindinę savo naudingąją informaciją. Užuot įdiegęs save kaip tradicinį failą, kenkėjiška programa vykdoma tiesiai atmintyje, taip žymiai sumažindama savo užimamą vietą diske ir apsunkindama aptikimą. Jei sistemoje aptinkamas „JelusRAT“, labai svarbu jį nedelsiant pašalinti, kad būtų išvengta tolesnio pažeidimo.
Turinys
Užmaskuotas krautuvas ir be failų vykdomas vykdymas
Užkrėtimo grandinė prasideda nuo įkroviklio, kuris apsimeta teisėta programa. Šis komponentas slepia du užšifruotus segmentus: viename yra pagrindinė kenkėjiška programa, o kitame – konfigūracijos duomenys. Aktyvuotas įkroviklis iššifruoja pagrindinę informaciją ir paleidžia ją tiesiai į sistemos atmintį, po to jis pats save ištrina, kad sunaikintų įrodymus. Ši „be failų“ technika specialiai sukurta apeiti tradicines saugumo gynybos priemones ir teismo ekspertizę.
Konfigūracijos tvarkymas ir slapta taktika
Po vykdymo pagrindinė apkrova pasiekia konfigūracijos failą pavadinimu „Info.ini“, kad gautų operacines instrukcijas. Iškart po failo nuskaitymo ji jį ištrina, kad sumažintų įsilaužimo pėdsakus. Šiame faile esantys duomenys yra užmaskuojami, o maža įterptoji reikšmė, esanti pirmame baite, kenkėjiška programa naudoja instrukcijoms iššifruoti prieš joms vykdant.
Nuotolinio valdymo galimybės ir komandų valdymas
„JelusRAT“ sukurtas taip, kad priimtų įvairias komandas iš užpuoliko serverio. Jis gali save paskelbti kritiniu sistemos procesu, o tai reiškia, kad bet koks bandymas jį priverstinai nutraukti gali sukelti „Windows“ mėlynąjį ekraną, kuris veiksmingai atgraso nuo rankinio pašalinimo. Kenkėjiška programa taip pat gali išjungti šią funkciją, pakeisti bendravimą su savo komandų ir valdymo infrastruktūra arba išsijungti gavusi atitinkamą nurodymą.
Modulinė platforma, paremta papildiniais
Užuot talpinusi visas kenkėjiškas funkcijas viduje, „JelusRAT“ pirmiausia veikia kaip sistema. Ji gali atsisiųsti papildomų priedų DLL įskiepių pavidalu iš užpuoliko serverio, taip išplėsdama savo funkcionalumą pagal poreikį. Dauguma jos galimybių teikiamos per šiuos modulius, leidžiančius grėsmių kūrėjams pritaikyti kenkėjišką programą skirtingiems tikslams neperdislokuojant viso naudingojo turinio.
„JelusRAT“ galima panaudoti kitų tipų kenkėjiškoms programoms įdiegti, įskaitant:
- Išpirkos reikalaujančios programos, kriptovaliutų kasimo programos ir informacijos vagystės įrankiai
- Papildomos kenkėjiškos programos, kurios gilina arba plečia sistemos pažeidimus
Kodėl JelusRAT kelia rimtą pavojų
„JelusRAT“ išsiskiria kaip slapta ir labai lanksti grėsmė. Dėl savo veikimo atmintyje, savaiminio ištrynimo ir įskiepių pagrindu sukurtos konstrukcijos ji išvengia aptikimo, tuo pačiu išlaikant nuolatinę, pritaikomą užkrėstų sistemų kontrolę. Dėl šių savybių ji ypač pavojinga, nes gali lengvai tapti dar žalingesnių kenkėjiškų programų ir didelio masto kibernetinių nusikaltimų paleidimo platforma.
Dažni infekcijos vektoriai ir pasiskirstymo būdai
Kenkėjiška programa, tokia kaip „JelusRAT“, dažniausiai platinama socialinės inžinerijos ir apgaulingų internetinių praktikų būdu. Užpuolikai paprastai vilioja aukas paleisti kenkėjiškus failus, užmaskuotus kaip teisėtas turinys, įskaitant vykdomuosius failus, scenarijus ir dokumentų formatus, tokius kaip „Word“, „Excel“, PDF arba ISO atvaizdus. Užkrėtimo kampanijos dažnai remiasi sukčiavimo el. laiškais, netikromis reklamomis, techninės pagalbos aferomis, piratine programine įranga ir pažeistomis svetainėmis, kad pateiktų šiuos duomenis.
Kiti įprasti platinimo kanalai apima užkrėstus USB diskus, tarpusavio ryšio tinklus, trečiųjų šalių atsisiuntimo programas ir netaisytų programinės įrangos pažeidžiamumų išnaudojimą. Daugeliu atvejų sėkmingos užkrėtimo priežastys yra tai, kad vartotojai apgaunami ir atlieka veiksmą, kuris netyčia suteikia kenkėjiškai programai vietą.
