Klingon RAT

Trenden med att malwareförfattare vänder sig till programmeringsspråket Golang för öppen källkod för deras skapelser verkar bara bli starkare. Som ett resultat har antalet skadliga program som skrivits i Golang aldrig varit högre. Ökningen av nivån på sofistikering som hoten visar har också varit betydande. En sådan hotfull fjärråtkomsttrojan upptäcktes nyligen av infosec-forskare som kallade hotet Klingon RAT.

Klingon RAT fick först forskarnas uppmärksamhet på grund av dess mest unika kod. Detta är en ganska ovanlig händelse i cyberhot-utrymmet - skapare av skadlig programvara återanvänder ofta stora bitar av kod för att minska den tid som krävs för att slutföra ett nytt, hotfullt verktyg. Klingon RAT har de vanliga egenskaper som förväntas av ett RAT-hot. På toppen av dem har den dock utrustats med kraftigt utökade åtgärder mot säkerhetsprodukter, uthållighetsmekanismer och metoder för eskalering av privilegier.

Inledande aktivitet

En av de första åtgärderna som vidtas av Klingon RAT på ett komprometterat system är att försöka döda över 500 olika processer i samband med säkerhetsprodukter mot skadlig kod. Hotet kontrollerar de aktiva processerna i systemet och jämför dem med en lista över riktade processer. Alla matchningsprocesser avslutas sedan via kommandot task kill.

HKEY_LOCAL_MACHINE
Programvara \ Microsoft \ Windows NT \ CurrentVersion \ Tillgänglighet

HKEY_CURRENT_USER
Programvara \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ magnify.exe

För att säkerställa dess fortsatta närvaro på maskiner som har trätt i kraft initierar Klingon RAT flera olika uthållighetsscheman. Hotet skapar två registerkörningsnycklar - en under Nuvarande användare och en på Local Machine. Klingon RAT kan också kapa binärprogrammet för Microsoft Screen Magnifier - magnify.exe och tvinga det att utföra skadlig programvara själv. Detta uppnås via Image File Execution Options som gör att alla körbara filer kan flaggas och användas som ett "felsökningsverktyg". För att denna teknik ska fungera ser skadlig programvara till att följande två registernycklar finns på systemet:

Klingon RAT använder också 'WMIC' för att generera ett evenemangsabonnemang som fungerar som en uthållighetsmekanism som startar den skadade nyttolasten inom 60 sekunder efter varje Windows-start. En annan teknik gör det möjligt för skadlig kod att ändra 'WinLogon' -tangenten och tvinga den att köra RAT under Windows-start.

Slutligen genererar Klingon RAT en schemalagd uppgift under namnet 'OneDriveUpdate' som också kan bibehålla sin uthållighet i systemet. För att uppgiften ska konfigureras släpper hotet först en XML-fil som heter 'elevtor.xml' i APPDATA.

Ökar sina privilegier

Bortsett från dess omfattande uthållighetsteknik, är Klingon RAT också utrustad med lika omfattande sätt att eskalera sina privilegier på det brutna systemet. Hotet kommer först att avgöra om det inte redan har administratörsrättigheter genom att utföra två kontroller. Klingon RAT försöker öppna '\\\\. \\ PHYSICALDRIVE0;' och om den inte gör det kommer den att försöka öppna '\\\\. \\ SCSI0.' Om varken kontrollen lyckas kommer hotet att engagera sina rutiner för eskalering av privilegier.

Klingon RAT kommer att utnyttja en specifik registernyckel och köra ett program som heter computerdefaults.exe för att slutföra processen. En annan exploatering som den tidigare involverar programmet 'Features on Demand Helper' (Fodhelper.exe). Det är en binär som har inställningen 'autoelevate' satt till true. Den schemalagda uppgiften "SilentCleanup" kan också utnyttjas. Hotaktörerna missbrukar det faktum att det körs med högsta möjliga privilegier samtidigt som de bibehåller förmågan att initieras av privilegierade användare. Infosec-forskare hittade ännu en teknik - UAC-förbikopplingen 'Event Viewer', i Klingor RATs kod. Denna funktion verkar dock vara implementerad i de aktuella exemplen på hotet felaktigt.

Klingon RAT är bara den senaste Golang-produkten som släpps ut av skapare av skadlig kod. Det förstärker tråden för cyberbrottslingar som växlar till detta programmeringsspråk när det gäller deras hotfulla verktygslåda. Enskilda användare och organisationer bör börja vidta lämpliga åtgärder i sin cybersäkerhetsstrategi för att ta hänsyn till denna nya våg av hot.

Trendigt

Mest sedda

Läser in...