Kempen Perisian Hasad Berganda
Satu kempen perisian hasad yang baru ditemui menarik perhatian yang ketara dalam komuniti keselamatan siber kerana keupayaannya untuk menggunakan dua ancaman berbeza secara serentak. Satu pemuat yang dikaburkan digunakan untuk menghantar kedua-dua Gh0st RAT dan CloverPlus ke sistem yang sama yang telah diceroboh.
Gabungan ini luar biasa dan sangat strategik. Gh0st RAT membolehkan kawalan jauh penuh ke atas mesin yang dijangkiti, manakala CloverPlus memberi tumpuan kepada memanipulasi aktiviti pelayar, menyuntik komponen pengiklanan dan menjana pendapatan melalui tetingkap timbul yang mengganggu. Pelaksanaan berganda membolehkan pelaku ancaman mengekalkan akses tanpa kebenaran yang berterusan sambil menjana wang daripada jangkitan dalam masa nyata.
Kempen ini mengetengahkan trend yang semakin meningkat ke arah penghantaran berbilang muatan, yang mana penyerang memaksimumkan kecekapan operasi dan pulangan kewangan daripada satu kompromi.
Isi kandungan
Taktik Kekeliruan: Menyembunyikan Muatan
Pemuat teras kempen ini direka bentuk untuk tujuan sembunyi-sembunyi. Ia membenamkan dua muatan yang disulitkan dalam bahagian sumbernya, menggunakan teknik pengaburan untuk mengelakkan mekanisme pengesanan tradisional.
Pelaksanaan bermula dengan modul adware CloverPlus, yang dikenal pasti sebagai AdWare.Win32.CloverPlus dan dikaitkan dengan perisian boleh laku bernama wiseman.exe. Komponen ini mengubah suai tetapan permulaan pelayar dan menyuntik iklan timbul yang berterusan.
Berikutan ini, pemuat menilai laluan pelaksanaannya. Jika ia tidak beroperasi dari direktori %temp% sistem, ia akan mencipta salinan dirinya sendiri di sana sebelum meneruskan. Peringkat seterusnya melibatkan penyahsulitan modul klien RAT Gh0st, yang juga disembunyikan sebagai sumber yang disulitkan dalam binari perisian hasad.
Sebaik sahaja dinyahsulit, perisian hasad akan memberikan nama fail rawak kepada muatan dan menyimpannya dalam folder yang dinamakan secara rawak yang terletak di akar pemacu C:\, sekali gus merumitkan lagi pengesanan dan analisis.
Hidup di Luar Tanah: Alat yang Dipercayai, Niat Berniat Jahat
Untuk melaksanakan muatan yang dinyahsulit, perisian hasad tersebut memanfaatkan utiliti Windows yang sah rundll32.exe. Pendekatan ini membolehkan pelaksanaan kod berniat jahat di bawah nama proses sistem yang dipercayai, sekali gus mengurangkan kemungkinan mencetuskan pertahanan keselamatan dengan ketara.
Sebaik sahaja aktif, Gh0st RAT mula memprofilkan sistem yang diceroboh dengan mengumpul pengecam unik seperti alamat MAC dan nombor siri cakera keras. Butiran ini digunakan untuk mendaftarkan mangsa dalam infrastruktur arahan dan kawalan penyerang, memastikan pengesanan dan pengurusan hos yang dijangkiti tepat.
Mekanisme Kegigihan: Memastikan Akses Jangka Panjang
Mengekalkan akses selepas but semula sistem merupakan objektif utama kempen ini. Gh0st RAT mencapai kegigihan melalui pelbagai teknik yang tertanam jauh di dalam sistem pengendalian:
Pengubahsuaian kekunci pendaftaran Windows Run untuk memastikan pelaksanaan automatik semasa permulaan
Pendaftaran DLL berniat jahat dalam laluan perkhidmatan Akses Jauh di bawah SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip
Kaedah ini memberikan keistimewaan peringkat SISTEM kepada perisian hasad setiap kali perkhidmatan berkaitan dilancarkan, sekali gus menghapuskan keperluan untuk interaksi pengguna selanjutnya dan mengukuhkan kawalan jangka panjang.
Pengesanan dan Pertahanan: Petunjuk Kompromi
Impak kempen ini adalah besar untuk individu dan organisasi. Walaupun komponen adware mengganggu fungsi pelayar dan meningkatkan pendedahan kepada pengiklanan berniat jahat, komponen RAT membolehkan kecurian data, pengelogan kekunci, memintas keselamatan dan akses istimewa yang berterusan.
Pasukan keselamatan harus sentiasa berwaspada dan memantau petunjuk-petunjuk kompromi berikut:
- Pelaksanaan rundll32.exe memuatkan DLL atau sambungan fail bukan standard daripada direktori yang luar biasa atau mencurigakan
- Aktiviti proses yang berasal dari folder %temp%
- Pengubahsuaian tanpa kebenaran pada kekunci Jalankan pendaftaran atau konfigurasi perkhidmatan RemoteAccess
- Penggunaan kelewatan berasaskan ping untuk mengelakkan pengesanan kotak pasir
- Corak trafik DNS yang tidak normal dan perubahan yang tidak dijangka pada fail hos sistem
Pemantauan proaktif dan tindak balas pantas terhadap isyarat ini adalah penting untuk mengurangkan risiko yang ditimbulkan oleh kempen perisian hasad dwi-ancaman yang canggih ini.
