Klingon RAT

De trend dat malware-auteurs zich voor hun creaties tot de open-source programmeertaal Golang wenden, lijkt alleen maar sterker te worden. Als gevolg hiervan is het aantal malware dat in Golang is geschreven, nog nooit zo hoog geweest. De toename van het niveau van verfijning dat door de bedreigingen wordt getoond, is ook aanzienlijk geweest. Een dergelijke bedreigende Trojan voor externe toegang werd onlangs ontdekt door infosec-onderzoekers, die de bedreiging Klingon RAT noemden.

De Klingon RAT trok voor het eerst de aandacht van de onderzoekers vanwege zijn meest unieke code. Dit is een vrij ongebruikelijke gebeurtenis in de cyberthreat-ruimte - makers van malware hergebruiken vaak grote stukken code om de tijd te verminderen die nodig is om een nieuwe, bedreigende tool te voltooien. De Klingon RAT bezit de gebruikelijke kenmerken die verwacht worden van een RAT-dreiging. Bovendien is het uitgerust met enorm uitgebreide maatregelen tegen beveiligingsproducten, persistentiemechanismen en methoden voor escalatie van bevoegdheden.

Initiële activiteit

Een van de eerste acties die de Klingon RAT op een gecompromitteerd systeem heeft ondernomen, is proberen om meer dan 500 verschillende processen die verband houden met anti-malware beveiligingsproducten te doden. De dreiging controleert de actieve processen op het systeem en vergelijkt ze met een lijst met gerichte processen. Elk matchproces wordt dan beëindigd via het taak-kill-commando.

HKEY_LOCAL_MACHINE
Software\Microsoft\Windows NT\CurrentVersion\Toegankelijkheid

HKEY_CURRENT_USER
Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe

Om zijn voortdurende aanwezigheid op de geschonden machines te verzekeren, initieert de Klingon RAT verschillende persistentieschema's. De dreiging creëert twee registersleutels - één onder Huidige gebruiker en één op Lokale machine. De Klingon RAT kan ook het binaire bestand kapen voor de Microsoft Screen Magnifier - magnify.exe, en het dwingen de malware zelf uit te voeren. Dit wordt bereikt via de uitvoeringsopties voor afbeeldingsbestanden waarmee elk uitvoerbaar bestand kan worden gemarkeerd en gebruikt als een 'debugger'-tool. Om deze techniek te laten werken, zorgt de malware ervoor dat de volgende twee registersleutels op het systeem aanwezig zijn:

De Klingon RAT maakt ook gebruik van 'WMIC' om een gebeurtenisabonnement te genereren dat fungeert als een persistentiemechanisme dat de beschadigde payload binnen 60 seconden na elke Windows-opstart start. Een andere techniek stelt de malware in staat om de 'WinLogon'-sleutel te wijzigen en deze te dwingen de RAT uit te voeren tijdens het opstarten van Windows.

Ten slotte genereert de Klingon RAT een geplande taak onder de naam 'OneDriveUpdate' die ook zijn persistentie op het systeem kan behouden. Om de taak te configureren, plaatst de dreiging eerst een XML-bestand met de naam 'elevtor.xml' in APPDATA.

Zijn privileges escaleren

Afgezien van zijn uitgebreide persistentietechnieken, is de Klingon RAT ook uitgerust met even uitgebreide manieren om zijn privileges op het gehackte systeem te escaleren. De dreiging zal eerst bepalen of deze nog geen beheerdersrechten heeft door twee controles uit te voeren. De Klingon RAT zal proberen '\\\\.\\PHYSICALDRIVE0;' te openen en als het dit niet doet, zal het proberen '\\\\.\\SCSI0' te openen. Als geen van beide controles succesvol is, zal de dreiging zijn privilege-escalatieroutines inschakelen.

De Klingon RAT maakt gebruik van een specifieke registersleutel en voert een programma uit met de naam computerdefaults.exe om het proces te voltooien. Een andere exploit die vergelijkbaar is met de vorige betreft het programma 'Features on Demand Helper' (Fodhelper.exe). Het is een binair bestand waarvan de 'autoelevate'-instelling is ingesteld op true. De geplande taak 'SilentCleanup' zou ook misbruikt kunnen worden. De dreigingsactoren misbruiken het feit dat het draait met de hoogst mogelijke privileges, terwijl ze ook de mogelijkheid behouden om te worden geïnitieerd door onbevoegde gebruikers. Infosec-onderzoekers vonden nog een andere techniek - de 'Event Viewer' UAC-bypass,' in de code van Klingor RAT. Deze functionaliteit lijkt echter onjuist te zijn geïmplementeerd in de huidige voorbeelden van de dreiging.

De Klingon RAT is slechts het nieuwste Golang-product dat door malwaremakers is gelanceerd. Het versterkt verder de draad van cybercriminelen die overstappen op deze programmeertaal als het gaat om hun bedreigende toolkit. Individuele gebruikers en organisaties moeten passende maatregelen gaan nemen in hun cyberbeveiligingsstrategie om rekening te houden met deze nieuwe golf van dreigingen.