Klingon RAT

Wydaje się, że tendencja autorów szkodliwego oprogramowania do korzystania z języka programowania open source Golang w swoich kreacjach staje się coraz silniejsza. W rezultacie liczba złośliwego oprogramowania napisanego w Golangu nigdy nie była wyższa. Istotny był również wzrost poziomu zaawansowania zagrożeń. Jeden z takich groźnych trojanów zdalnego dostępu został niedawno wykryty przez badaczy infosec, którzy nazwali zagrożenie Klingon RAT.

Klingoński RAT po raz pierwszy zwrócił uwagę badaczy ze względu na swój najbardziej unikalny kod. Jest to dość rzadkie zjawisko w przestrzeni cyberzagrożeń – twórcy złośliwego oprogramowania często ponownie wykorzystują duże fragmenty kodu, aby skrócić czas potrzebny na ukończenie nowego, groźnego narzędzia. Klingoński RAT posiada typowe cechy, jakich oczekuje się od zagrożenia RAT. Oprócz tego został wyposażony w znacznie rozszerzone środki przeciwko produktom bezpieczeństwa, mechanizmy trwałości i metody eskalacji uprawnień.

Początkowa aktywność

Jednym z pierwszych działań podejmowanych przez klingoński RAT na zaatakowanym systemie jest próba zabicia ponad 500 różnych procesów związanych z produktami zabezpieczającymi przed złośliwym oprogramowaniem. Zagrożenie sprawdza aktywne procesy w systemie i porównuje je z listą zaatakowanych procesów. Każdy proces dopasowywania zostanie następnie zakończony za pomocą polecenia kill zadania.

HKEY_LOCAL_MACHINE
Oprogramowanie\Microsoft\Windows NT\Aktualna wersja\Dostępność

HKEY_CURRENT_USER
Oprogramowanie\Microsoft\Windows NT\CurrentVersion\Opcje wykonywania pliku obrazu\magnify.exe

Aby zapewnić ciągłą obecność na złamanych maszynach, klingoński RAT inicjuje kilka różnych schematów trwałości. Zagrożenie tworzy dwa klucze uruchamiania rejestru — jeden w obszarze Bieżący użytkownik, a drugi w komputerze lokalnym. Klingon RAT może również przejąć plik binarny programu Microsoft Screen Magnifier - magnify.exe i zmusić go do samodzielnego wykonania złośliwego oprogramowania. Osiąga się to za pomocą opcji wykonywania pliku obrazu, które umożliwiają oznaczenie dowolnego pliku wykonywalnego i użycie go jako narzędzia „debuggera”. Aby ta technika zadziałała, złośliwe oprogramowanie upewnia się, że w systemie znajdują się następujące dwa klucze rejestru:

Klingon RAT wykorzystuje również „WMIC” do generowania subskrypcji zdarzeń, która działa jako mechanizm trwałości, który uruchamia uszkodzony ładunek w ciągu 60 sekund po każdym uruchomieniu systemu Windows. Inna technika pozwala szkodliwemu oprogramowaniu zmodyfikować klucz „WinLogon” i wymusić na nim uruchomienie RAT podczas uruchamiania systemu Windows.

Na koniec klingoński RAT generuje zaplanowane zadanie pod nazwą „OneDriveUpdate”, które również może utrzymać jego trwałość w systemie. Aby zadanie zostało skonfigurowane, zagrożenie najpierw upuszcza plik XML o nazwie „elevtor.xml” w APPDATA.

Eskalacja swoich przywilejów

Poza rozbudowanymi technikami utrwalania, Klingon RAT jest również wyposażony w równie rozbudowane sposoby eskalacji swoich przywilejów w naruszonym systemie. Zagrożenie najpierw określi, czy nie ma już uprawnień administratora, wykonując dwa sprawdzenia. Klingon RAT spróbuje otworzyć '\\\\.\\PHYSICALDRIVE0;' a jeśli tego nie zrobi, spróbuje otworzyć „\\\\.\\SCSI0”. Jeśli żadne sprawdzenie nie powiedzie się, zagrożenie uruchomi swoje procedury eskalacji uprawnień.

Klingon RAT wykorzysta określony klucz rejestru i uruchomi program o nazwie computerdefaults.exe, aby zakończyć proces. Inny exploit podobny do poprzedniego dotyczy programu „Features on Demand Helper” (Fodhelper.exe). Jest to plik binarny, który ma ustawienie „autoelevate” ustawione na true. Można również wykorzystać zaplanowane zadanie „SilentCleanup”. Aktorzy zagrożeń nadużywają faktu, że działa z najwyższymi możliwymi uprawnieniami, jednocześnie zachowując możliwość inicjowania przez nieuprzywilejowanych użytkowników. Badacze z Infosec znaleźli jeszcze inną technikę - obejście UAC "Przeglądarki zdarzeń" w kodzie Klingor RAT. Wydaje się jednak, że ta funkcja jest nieprawidłowo zaimplementowana w obecnych próbkach zagrożenia.

Klingon RAT to tylko najnowszy produkt Golanga, który został udostępniony przez twórców złośliwego oprogramowania. To jeszcze bardziej wzmacnia wątek, w którym cyberprzestępcy przechodzą na ten język programowania, jeśli chodzi o ich groźny zestaw narzędzi. Poszczególni użytkownicy i organizacje powinni zacząć podejmować odpowiednie środki w swojej strategii cyberbezpieczeństwa, aby uwzględnić tę nową falę zagrożeń.