Клингонская крыса

Тенденция обращения авторов вредоносных программ к языку программирования с открытым исходным кодом Golang для своих творений, кажется, только усиливается. В результате количество вредоносных программ, написанных на Golang, никогда не было таким большим. Повышение уровня изощренности угроз также было значительным. Один из таких угрожающих троянцев удаленного доступа был недавно обнаружен исследователями информационной безопасности, которые назвали угрозу Klingon RAT.

Клингонская крыса впервые привлекла внимание исследователей благодаря своему уникальному коду. Это довольно редкое явление в сфере киберугроз - создатели вредоносных программ часто повторно используют большие фрагменты кода, чтобы сократить время, необходимое для создания нового опасного инструмента. Klingon RAT обладает обычными характеристиками, ожидаемыми от угрозы RAT. Однако, помимо них, он был оснащен значительно расширенными мерами против продуктов безопасности, механизмами сохранения и методами повышения привилегий.

Начальная активность

Одним из первых действий, предпринятых Klingon RAT в отношении скомпрометированной системы, является попытка убить более 500 различных процессов, связанных с продуктами защиты от вредоносных программ. Угроза проверяет активные процессы в системе и сравнивает их со списком целевых процессов. Затем любой соответствующий процесс будет завершен с помощью команды kill.

HKEY_LOCAL_MACHINE
Программное обеспечение \ Microsoft \ Windows NT \ CurrentVersion \ Accessibility

HKEY_CURRENT_USER
Программное обеспечение \ Microsoft \ Windows NT \ CurrentVersion \ Параметры выполнения файла изображения \ magnify.exe

Чтобы обеспечить постоянное присутствие на взломанных машинах, Klingon RAT инициирует несколько различных схем сохранения. Угроза создает два ключа запуска реестра - один для текущего пользователя и один на локальном компьютере. Klingon RAT также может захватить двоичный файл для экранной лупы Microsoft - magnify.exe и заставить его запустить саму вредоносную программу. Это достигается с помощью параметров выполнения файла изображения, которые позволяют помечать любой исполняемый файл и использовать его в качестве инструмента «отладчик». Чтобы этот метод работал, вредоносная программа проверяет наличие в системе следующих двух ключей реестра:

Klingon RAT также использует WMIC для создания подписки на события, которая действует как механизм сохранения, который запускает поврежденную полезную нагрузку в течение 60 секунд после каждой загрузки Windows. Другой метод позволяет вредоносному ПО изменять ключ WinLogon и заставлять его запускать RAT при запуске Windows.

Наконец, Klingon RAT генерирует запланированную задачу под именем OneDriveUpdate, которая также может поддерживать свою постоянство в системе. Для настройки задачи угроза сначала помещает XML-файл с именем «elevtor.xml» в APPDATA.

Повышение его привилегий

Помимо своих обширных методов сохранения, Klingon RAT также оснащен столь же обширными способами повышения своих привилегий в взломанной системе. Угроза сначала определит, не имеет ли она еще прав администратора, выполнив две проверки. Klingon RAT попытается открыть '\\\\. \\ PHYSICALDRIVE0;' и, если он этого не сделает, он попытается открыть '\\\\. \\ SCSI0.' Если ни одна из проверок не увенчалась успехом, угроза задействует свои процедуры повышения привилегий.

Klingon RAT использует определенный ключ реестра и запускает программу под названием computerdefaults.exe для завершения процесса. Другой эксплойт, аналогичный предыдущему, связан с программой «Features on Demand Helper» (Fodhelper.exe). Это двоичный файл, для которого для параметра «autoelevate» установлено значение true. Запланированная задача SilentCleanup также может быть использована. Злоумышленники злоупотребляют тем фактом, что он работает с наивысшими возможными привилегиями, при этом сохраняя возможность быть инициированным непривилегированными пользователями. Исследователи Infosec обнаружили в коде Klingor RAT еще один прием - обход UAC «Просмотр событий». Однако, похоже, что в текущих образцах угрозы эта функция реализована некорректно.

Klingon RAT - это всего лишь последний продукт Golang, выпущенный создателями вредоносных программ. Это еще больше усиливает поток киберпреступников, переключающихся на этот язык программирования, когда дело доходит до их угрожающего набора инструментов. Отдельные пользователи и организации должны начать принимать соответствующие меры в своей стратегии кибербезопасности, чтобы учесть эту новую волну угроз.