Klingon RAT

A tendência dos autores de malware se voltando para a linguagem de programação de código aberto Golang para suas criações parece estar ficando cada vez mais forte. Como resultado, o número de malware escrito em Golang nunca foi tão alto. O aumento no nível de sofisticação exibido pelas ameaças também foi significativo. Um desses Trojans de acesso remoto foi detectado recentemente por pesquisadores da Infosec, que batizaram a ameaça de Klingon RAT.

O Klingon RAT primeiro chamou a atenção dos pesquisadores devido ao seu código mais exclusivo. Essa é uma ocorrência bastante incomum no espaço das ameaças cibernéticas - os criadores de malware frequentemente reutilizam grandes blocos de código para reduzir o tempo necessário para concluir uma nova ferramenta ameaçadora. O RAT Klingon possui as características usuais esperadas de uma ameaça RAT. No entanto, além deles, foi equipado com medidas amplamente expandidas contra produtos de segurança, mecanismos de persistência e métodos para escalonamento de privilégios.

A Atividade Inicial

Uma das primeiras ações realizadas pelo Klingon RAT em um sistema comprometido, é tentar matar mais de 500 processos diferentes associados a produtos de segurança anti-malware. A ameaça verifica os processos ativos no sistema e os compara com uma lista de processos direcionados. Qualquer processo de correspondência será encerrado por meio do comando task kill.

HKEY_LOCAL_MACHINE
Software \ Microsoft \ Windows NT \ CurrentVersion \ Accessibility

HKEY_CURRENT_USER
Software \ Microsoft \ Windows NT \ CurrentVersion \ Opções de execução de arquivo de imagem \ magnify.exe

Para garantir sua presença contínua nas máquinas violadas, o Klingon RAT inicia vários esquemas de persistência diferentes. A ameaça cria duas chaves de execução do Registro - uma no Usuário Atual e outra na Máquina Local. O Klingon RAT também pode sequestrar o binário para o Microsoft Screen Magnifier - magnify.exe, e forçá-lo a executar o próprio malware. Isso é feito por meio das Opções de execução do arquivo de imagem, que permitem que qualquer executável seja sinalizado e usado como uma ferramenta de 'depuração'. Para que essa técnica funcione, o malware garante que as duas seguintes chaves do Registro existam no sistema:

O Klingon RAT também emprega 'WMIC' para gerar uma inscrição de evento que atua como um mecanismo de persistência que iniciará a carga corrompida dentro de 60 segundos após cada inicialização do Windows. Outra técnica permite que o malware modifique a chave 'WinLogon' e force-o a executar o RAT durante a inicialização do Windows.

Finalmente, o Klingon RAT gera uma tarefa agendada com o nome 'OneDriveUpdate' que também pode manter sua persistência no sistema. Para que a tarefa seja configurada, a ameaça primeiro descarta um arquivo XML chamado 'elevtor.xml' em APPDATA.

Escalando os Seus Privilégios

Além de suas extensas técnicas de persistência, o Klingon RAT também está equipado com maneiras igualmente extensas de escalar seus privilégios no sistema violado. A ameaça determinará primeiro se ainda não possui direitos de administrador, executando duas verificações. O Klingon RAT tentará abrir '\\\\. \\ PHYSICALDRIVE0;' e, se não o fizer, tentará abrir '\\\\. \\ SCSI0.' Se nenhuma das verificações for bem-sucedida, a ameaça ativará suas rotinas de escalonamento de privilégios.

O Klingon RAT explora uma chave específica do Registro e executa um programa chamado computerdefaults.exe para concluir o processo. Outro exploit semelhante ao anterior envolve o programa 'Features on Demand Helper' (Fodhelper.exe). É um binário que tem sua configuração 'autoelevate' definida como verdadeira. A tarefa agendada 'SilentCleanup' também pode ser explorada. Os atores da ameaça abusam do fato de que ele é executado com os privilégios mais elevados possíveis, ao mesmo tempo que mantém a capacidade de ser iniciado por usuários sem privilégios. Os pesquisadores da Infosec encontraram ainda outra técnica - o bypass UAC 'Event Viewer', no código do Klingor RAT. No entanto, essa funcionalidade parece estar implementada incorretamente nas amostras atuais da ameaça.

O Klingon RAT é apenas o produto Golang mais recente a ser lançado pelos criadores de malware. Isso reforça ainda mais a tendência dos cibercriminosos mudarem para essa linguagem de programação quando se trata de seu kit de ferramentas ameaçador. Os usuários individuais e as organizações devem começar a tomar as medidas adequadas em sua estratégia de segurança cibernética para levar em conta essa nova onda de ameaças.