Atropozija RUT
Atroposia ir komerciāli tirgots attālās piekļuves Trojas zirgs (RAT), kas tiek reklamēts pagrīdes forumos. Tas nodrošina tā operatoriem dziļu, slepenu kontroli pār apdraudētām iekārtām un bagātīgu rīku komplektu datu zagšanai, tīkla darbības manipulēšanai un sistēmu ievainojamību meklēšanai. Pateicoties plašajām iespējām un apiešanas funkcijām, jebkura apstiprināta Atroposia klātbūtne ierīcē ir nekavējoties jānoņem.
Ļaunprogrammatūras drauds potenciālajiem “klientiem” tiek piedāvāts trīs maksājumu līmeņos:
Mēneša īres maksa: 200 ASV dolāri
Reizi ceturksnī: 500 ASV dolāru (trīs mēnešos)
Pusgada maksājums: 900 ASV dolāri (seši mēneši)
Satura rādītājs
Slepenība, noturība un komandu kanāls
Atroposia ir veidota tā, lai paliktu slēpta. Tā var automātiski palielināt privilēģijas (apejot lietotāju pārvaldīšanu (UAC), izmanto vairākas saglabāšanas metodes, lai tā pārdzīvotu atkārtotu palaišanu, un ir izstrādāta tā, lai izvairītos no pretvīrusu atklāšanas. Tās saziņa ar operatora komandu un vadības serveriem ir šifrēta, un tīmekļa stila vadības panelis vienkāršo ļaunprātīgu uzdevumu izpildi pat vidēji prasmīgiem noziedzniekiem.
Slēpta tālvadības pults un failu apstrāde
Parakstfunkcija ir slēpta attālās darbvirsmas komponente (tiek tirgota kā “HRDP Connect”), kas atver neredzamu sesiju upura datorā, lai attālināts dalībnieks varētu mijiedarboties ar darbvirsmu bez redzamām zīmēm lietotājam. Papildinot to, Atroposia ietver failu pārvaldnieku, kas ļauj uzbrucējiem pārlūkot diskus un mapes, meklēt failus, lejupielādēt, dzēst vai attālināti izpildīt tos.
Masveida savākšana un neuzkrītošs iepakojums
RAT satur grabberu, kas meklē failus pēc paplašinājuma vai atslēgvārda un apvieno atbilstošās vērtības ar paroli aizsargātā ZIP failā. Tas var apkopot un pakot datus pilnībā atmiņā vai izmantot iebūvētās sistēmas utilītprogrammas, samazinot atlikušo artefaktu skaitu diskā un sarežģot kriminālistisko noteikšanu.
Akreditācijas datu un maka zādzības iespējas
Atroposia zagšanas modulis apkopo plašu sensitīvu materiālu klāstu: saglabātas pārlūkprogrammas paroles, biznesa lietojumprogrammu un VPN klientu akreditācijas datus, datus no ziņojumapmaiņas programmām, paroļu pārvaldnieka datus, ja tādi ir pieejami, un kriptovalūtas maka informāciju. Tas arī uztver starpliktuves saturu (visu, ko lietotājs kopē vai izgriež), reģistrē un saglabā šos ierakstus. Tas pat var pārrakstīt starpliktuves saturu, lai aizstātu kopētās maka adreses vai akreditācijas datus — šī metode ir noderīga līdzekļu piesavināšanai vai kontu nolaupīšanai.
Tīkla manipulācija un DNS nolaupīšana
Ļaunprogrammatūra var mainīt DNS iestatījumus vai citādi pārtvert nosaukumu meklēšanu, lai upura pārlūkprogramma tiktu nemanāmi novirzīta uz uzbrucēja kontrolētām krāpnieku vietnēm (piemēram, viltotām pieteikšanās lapām). Tā kā pārlūkprogramma joprojām var parādīt paredzēto URL, upurus var apmānīt, lai tie ievadītu akreditācijas datus, domājot, ka viņi atrodas likumīgā vietnē.
Ievainojamību skenēšana un eskalācijas iespējas
Atroposia ietver skeneri, kas pārbauda inficēto resursdatoru, meklējot trūkstošus ielāpus, vājas konfigurācijas un novecojušu programmatūru. Uzņēmumu vidē tas var atklāt augstas vērtības mērķus — neielāpotus VPN klientus, privilēģiju eskalācijas kļūdas vai citus riskus —, kurus uzbrucēji pēc tam izmanto, lai paplašinātu piekļuvi tīklā.
Sistēmas telemetrijas un tālvadības pults utilītprogrammas
Papildus datu zādzībām un attālinātajai darbvirsmai RAT apkopo sistēmas metadatus (IP adreses, operētājsistēmas versiju, ģeogrāfisko atrašanās vietu un citus vides datus), var uzskaitīt un pārvaldīt darbojošos procesus, kā arī atbalsta attālās izslēgšanas un pārstartēšanas darbības. Rīkkopa ietver arī papildu, mazāk ietekmējošas utilītas, kas kopā nodrošina plašu darbības elastību.
Kā parasti rodas infekcijas
Ļaunprātīgi vai ieroča statusā izmantoti dokumenti (piemēram, inficēti PDF faili vai citi pielikumi, kas izplatīti pa e-pastu)
Programmatūras pirātisma pakotnes, nejaušas ielaušanās, negodīgas reklāmas, viltotas tehniskā atbalsta shēmas, P2P/koplietoti faili, maldinošas lejupielādes vietnes, trešo pušu instalētāji un līdzīgi kanāli
Kāpēc šīs piegādes metodes ir veiksmīgas: uzbrucēji paļaujas uz sociālo inženieriju (viltoti dokumenti, vilinošas lejupielādes vai failu palaišanas pieprasījumi) vai ievainojamību un maldinošu instalētāju ļaunprātīgu izmantošanu — lielākā daļa infekciju notiek, kad lietotājs tiek apmānīts, lai palaistu ļaunprogrammatūru.
Ietekmes kopsavilkums
Atroposia nodrošina visaptverošu datu (failu, akreditācijas datu, starpliktuves datu, kriptovalūtu maku) eksfiltrāciju, slepenu attālo kontroli, tīkla pāradresāciju, izmantojot DNS manipulācijas, un izlūkošanu tālākai izmantošanai. Tās slepenā arhitektūra (privilēģiju eskalācija, noturība, iepakošana atmiņā, šifrēts C2 un slēptas attālās sesijas) padara to īpaši bīstamu gan privātpersonām, gan organizācijām.
Tūlītēja atbilde
Ja sistēmā ir aizdomas par atropoziju vai tā tiek konstatēta, atvienojiet ierīci no tīkliem, saglabājiet žurnālus analīzei, ja iespējams, un pēc iespējas ātrāk noņemiet ļaunprogrammatūru. Tā kā operatori var izmantot ievāktās akreditācijas datus un sānu maršrutus, jebkuru kompromitēšanu uztveriet kā potenciāli plaši izplatītu un apsveriet paroļu maiņu, žetonu atsaukšanu un plašākas iekšējas izmeklēšanas veikšanu.
