JelusRAT
JelusRAT ir attālās piekļuves Trojas zirgs (RAT), kas kibernoziedzniekiem piešķir slepenu kontroli pār apdraudētiem datoriem. Izstrādāts C++ valodā, tas izmanto specializētu ielādētāju, lai atšifrētu un atbrīvotu savu galveno lietderīgo slodzi. Ļaunprātīgā programmatūra netiek instalēta kā tradicionāls fails, bet tiek izpildīta tieši atmiņā, ievērojami samazinot tās ietekmi uz disku un apgrūtinot atklāšanu. Ja sistēmā tiek identificēts JelusRAT, ir svarīgi to nekavējoties noņemt, lai novērstu turpmāku apdraudējumu.
Satura rādītājs
Slēptais iekrāvējs un bezfailu izpilde
Infekcijas ķēde sākas ar ielādētāju, kas maskējas kā likumīga lietojumprogramma. Šis komponents slēpj divus šifrētus segmentus: viens satur galveno ļaunprogrammatūru, bet otrs glabā konfigurācijas datus. Pēc aktivizēšanas ielādētājs atšifrē galveno vērtumu un palaiž to tieši sistēmas atmiņā, pēc tam ielādētājs izdzēš sevi, lai iznīcinātu pierādījumus. Šī "bezfailu" metode ir īpaši izstrādāta, lai apietu tradicionālās drošības aizsardzības un kriminālistikas analīzi.
Konfigurācijas apstrāde un slepenības taktika
Pēc izpildes galvenā slodze piekļūst konfigurācijas failam ar nosaukumu Info.ini, lai izgūtu darbības instrukcijas. Tūlīt pēc faila nolasīšanas tā to izdzēš, lai samazinātu ielaušanās pēdas. Šajā failā esošie dati tiek maskēti, un ļaunprogrammatūra izmanto nelielu iegultu vērtību, kas atrodas pirmajā baitā, lai atšifrētu instrukcijas pirms to izpildes.
Tālvadības iespējas un komandu apstrāde
JelusRAT ir veidots tā, lai pieņemtu dažādas komandas no uzbrucēja servera. Tas var sevi pasludināt par kritisku sistēmas procesu, kas nozīmē, ka jebkurš mēģinājums to piespiedu kārtā izbeigt var izraisīt Windows zilo ekrānu, efektīvi atturējot no manuālas noņemšanas. Ļaunprogrammatūra spēj arī atspējot šo funkciju, mainīt saziņu ar savu komandu un vadības infrastruktūru vai izslēgties pēc norādījuma.
Modulāra platforma, ko nodrošina spraudņi
JelusRAT nevis satur visas ļaunprātīgās funkcijas iekšēji, bet galvenokārt darbojas kā ietvars. Tas var lejupielādēt papildu pievienojumprogrammas DLL spraudņu veidā no uzbrucēja servera, pēc pieprasījuma paplašinot savu funkcionalitāti. Lielākā daļa tā iespēju tiek nodrošinātas, izmantojot šos moduļus, ļaujot apdraudējumu dalībniekiem pielāgot ļaunprogrammatūru dažādiem mērķiem, nepārizvietojot visu vērtumu.
JelusRAT var izmantot, lai ieviestu cita veida ļaunprogrammatūru, tostarp:
- Izspiedējvīrusi, kriptovalūtas ieguves programmas un informācijas zagšanas rīki
- Papildu ļaunprātīgas programmas, kas padziļina vai paplašina sistēmas apdraudējumu
Kāpēc JelusRAT rada nopietnu risku
JelusRAT izceļas kā nemanāms un ļoti elastīgs apdraudējums. Tā izpilde atmiņā, pašizdzēšošā darbība un uz spraudņiem balstītais dizains ļauj tam izvairīties no atklāšanas, vienlaikus saglabājot pastāvīgu, pielāgojamu kontroli pār inficētajām sistēmām. Šīs īpašības padara to īpaši bīstamu, jo tas var viegli kalpot par palaišanas platformu vēl postošākai ļaunprogrammatūrai un liela mēroga kibernoziedznieku operācijām.
Biežākie infekcijas vektori un izplatīšanās metodes
Ļaunprogrammatūra, piemēram, JelusRAT, visbiežāk tiek izplatīta, izmantojot sociālo inženieriju un maldinošas tiešsaistes prakses. Uzbrucēji parasti pievilina upurus, lai tie palaistu ļaunprātīgus failus, kas maskēti kā likumīgs saturs, tostarp izpildāmos failus, skriptus un dokumentu formātus, piemēram, Word, Excel, PDF vai ISO attēlus. Infekcijas kampaņas bieži vien izmanto pikšķerēšanas e-pastus, viltotas reklāmas, tehniskā atbalsta krāpniecību, pirātisku programmatūru un apdraudētas tīmekļa vietnes, lai piegādātu šīs vērtuma slodzes.
Citi iedibināti izplatīšanas kanāli ietver inficētus USB diskus, vienādranga tīklus, trešo pušu lejupielādes utilītas un neaizlāpotu programmatūras ievainojamību izmantošanu. Vairumā gadījumu veiksmīga inficēšanās notiek tāpēc, ka lietotāji tiek apmānīti veikt darbību, kas neapzināti nodrošina ļaunprogrammatūrai piekļuvi programmatūrai.
