Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad GHOSTFORM RAT

GHOSTFORM RAT

Menjelang Mezo pada perisian hasad, Alat Pentadbiran Jauh
Terjemahkan ke

GHOSTFORM ialah trojan akses jauh (RAT) berasaskan .NET yang direka untuk menggabungkan beberapa keupayaan berniat jahat ke dalam satu binari boleh laku tunggal. Perisian hasad ini melaksanakan skrip PowerShell secara langsung dalam memori, sekali gus mengurangkan kemungkinan pengesanan oleh alat keselamatan tradisional. Untuk mengelakkan mekanisme keselamatan selanjutnya, ia menggunakan teknik seperti borang Windows yang tidak kelihatan dan pemasa pelaksanaan yang tertangguh. Disebabkan oleh kelakuannya yang tersembunyi dan keupayaannya yang meluas, sebarang pengesanan GHOSTFORM harus mencetuskan prosedur penyingkiran dan tindak balas insiden serta-merta.

Rantaian Serangan Satu: Pelaksanaan Perisian Hasad Berbilang Peringkat

Rantaian serangan pertama bermula dengan penghantaran arkib RAR yang dilindungi kata laluan yang mengandungi aplikasi palsu yang direka bentuk untuk menyerupai WinRAR. Apabila mangsa membuka arkib tersebut, penitis yang dikenali sebagai SPLITDROP akan dilaksanakan. Penitis ini memasang dua komponen malware tambahan: TWINTASK dan TWINTALK.

SPLITDROP pada mulanya meminta kata laluan daripada mangsa untuk mengekstrak arkib tersembunyi. Jika arkib tersebut sudah ada pada sistem, pelaksanaan akan dihentikan. Jika tidak, dropper akan menyahsulit muatan terbenam di latar belakang sambil memaparkan mesej ralat yang mengelirukan kepada pengguna. Kandungan yang didekripsi disimpan dalam direktori 'C:\ProgramData\PolGuid', selepas itu fail boleh laku sah bernama VLC.exe dilancarkan untuk memajukan serangan.

Setelah dilaksanakan, VLC.exe memuatkan pustaka pautan dinamik berniat jahat yang dipanggil TWINTASK melalui pemuatan sisi DLL. Komponen ini menunggu arahan daripada penyerang dan melaksanakannya menggunakan PowerShell. Beberapa arahan digunakan khusus untuk mewujudkan kegigihan dalam sistem dan memulakan peringkat seterusnya bagi pencerobohan. Sebagai sebahagian daripada proses ini, skrip melancarkan WingetUI.exe dan mencipta entri pendaftaran yang memastikan kedua-dua VLC.exe dan WingetUI.exe berjalan secara automatik setiap kali sistem dimulakan semula.

TWINTALK dan TWINTASK: Pelaksanaan Perintah Terselaras

Apabila WingetUI.exe dilaksanakan, ia memuatkan modul berniat jahat lain yang dikenali sebagai TWINTALK. Komponen ini bersambung ke pelayan arahan dan kawalan penyerang dan mengambil arahan. TWINTALK bekerjasama dengan TWINTALK untuk melaksanakan arahan pada mesin yang diceroboh.

TWINTALK menyokong tiga kategori arahan utama:

  • Pelaksanaan arahan pada peranti yang dijangkiti
  • Muat turun fail daripada infrastruktur penyerang
  • Muat naik fail daripada sistem yang dikompromi kepada penyerang

Melalui keupayaan ini, penyerang mendapat kawalan yang meluas ke atas persekitaran yang dijangkiti.

Rantai Serangan Dua: Pelaksanaan GHOSTFORM Secara Langsung

Rantaian serangan kedua menggunakan GHOSTFORM itu sendiri untuk melaksanakan semua fungsi yang dikendalikan oleh berbilang komponen dalam rantaian pertama. Daripada menggunakan beberapa fail atau bergantung pada pemuatan sisi DLL, varian ini melaksanakan arahan PowerShell secara langsung dalam memori.

Untuk kekal tidak dikesan, perisian hasad tersebut mencipta borang Windows yang tidak kelihatan yang melambatkan pelaksanaan sebelum muatan berjalan. Di samping itu, kempen ini menggunakan Borang Google sebagai sebahagian daripada tarikan kejuruteraan sosial untuk menggalakkan mangsa memulakan aktiviti berniat jahat.

Teknik Pengelakan dan Kegigihan

GHOSTFORM menggabungkan pelbagai mekanisme yang direka untuk mengurangkan pengesanan dan mengekalkan akses jangka panjang kepada sistem yang diceroboh. Perisian hasad ini sengaja melambatkan aktivitinya dengan menjana borang Windows yang hampir tidak kelihatan yang menjalankan pemasa dengan kelewatan yang ditentukan secara rawak sebelum meneruskan pelaksanaan.

Ia juga mencipta mutex untuk memastikan hanya satu contoh perisian hasad berjalan pada sistem dan menjana pengecam bot unik untuk menjejaki mesin yang dijangkiti. Trojan akses jauh jenis ini biasanya digunakan untuk menggunakan muatan tambahan, mencuri data dan fail sensitif atau melakukan operasi berniat jahat lain dalam persekitaran mangsa.

Keupayaan utama yang biasanya dikaitkan dengan kempen ini termasuk:

  • Penggunaan muatan perisian hasad tambahan
  • Kecurian maklumat dan fail daripada peranti yang dijangkiti
  • Pelaksanaan arahan jauh melalui PowerShell
  • Kegigihan jangka panjang dalam sistem yang terjejas

Kejuruteraan Sosial ClickFix: Vektor Jangkitan Berfokus Manusia

Kempen ini tidak hanya bergantung pada penghantaran perisian hasad. Ia juga menggabungkan teknik kejuruteraan sosial yang dikenali sebagai ClickFix untuk menjejaskan sistem. Penyerang mencipta halaman web palsu yang meyakinkan yang direka untuk memanipulasi pengguna agar melaksanakan arahan berniat jahat.

Contohnya termasuk jemputan mesyuarat Cisco Webex palsu atau borang web palsu yang kelihatan sah. Mangsa diarahkan untuk menjalankan arahan yang memuat turun dan melaksanakan perisian hasad secara automatik, tanpa disedari memulakan pencerobohan.

Menggabungkan Perisian Hasad dan Penipuan

Kempen ini menunjukkan pendekatan terselaras yang menggabungkan penggunaan perisian hasad teknikal dengan manipulasi psikologi. Penyerang mengedarkan fail berniat jahat yang menyamar sebagai program tidak berbahaya yang menyerupai utiliti WinRAR. Apabila dibuka, fail tersebut menyuntik komponen perisian hasad tersembunyi ke dalam sistem pengendalian.

Setelah dipasang, salah satu komponen berjalan secara senyap di latar belakang, menyemak pelayan penyerang secara berkala untuk arahan yang disulitkan dan melaksanakannya melalui PowerShell. Secara selari, serangan gaya ClickFix bergantung pada tinjauan palsu, jemputan mesyuarat yang mengelirukan atau borang dalam talian palsu untuk memujuk pengguna melaksanakan arahan yang mencetuskan muat turun perisian hasad.

Dengan menggabungkan alat perisian hasad canggih seperti TWINTASK, TWINTALK dan GHOSTFORM dengan teknik kejuruteraan sosial yang direka dengan teliti, pelaku ancaman meningkatkan kadar kejayaan pencerobohan sistem dengan ketara dan mengekalkan kawalan jauh berterusan ke atas peranti yang dijangkiti.

Trending

Paling banyak dilihat

Memuatkan...