Klingon RAT
Kötü amaçlı yazılım yazarlarının yaratımları için açık kaynaklı programlama dili Golang'a yönelme eğilimi daha da güçleniyor gibi görünüyor. Sonuç olarak, Golang'da yazılan kötü amaçlı yazılımların sayısı hiç bu kadar yüksek olmamıştı. Tehditlerin gösterdiği gelişmişlik düzeyindeki artış da önemli olmuştur. Böyle bir tehdit edici uzaktan erişim Truva Atı, yakın zamanda, tehdidi Klingon RAT olarak adlandıran bilgi güvenliği araştırmacıları tarafından tespit edildi.
Klingon RAT, en benzersiz kodu nedeniyle ilk olarak araştırmacıların dikkatini çekti. Bu, siber tehdit alanında oldukça nadir görülen bir durumdur - kötü amaçlı yazılım yaratıcıları, yeni, tehdit edici bir aracı tamamlamak için gereken süreyi azaltmak için genellikle büyük kod parçalarını yeniden kullanır. Klingonca RAT, bir RAT tehdidinden beklenen olağan özelliklere sahiptir. Bununla birlikte, bunların üzerine, güvenlik ürünlerine, kalıcılık mekanizmalarına ve ayrıcalık yükseltme yöntemlerine karşı son derece genişletilmiş önlemlerle donatılmıştır.
İlk Etkinlik
Klingon RAT tarafından güvenliği ihlal edilmiş bir sistemde gerçekleştirilen ilk eylemlerden biri, kötü amaçlı yazılımdan koruma ürünleriyle ilişkili 500'den fazla farklı işlemi öldürmeye çalışmaktır. Tehdit, sistemdeki aktif süreçleri kontrol eder ve bunları bir hedeflenen süreçler listesiyle karşılaştırır. Herhangi bir eşleştirme işlemi daha sonra görev öldürme komutu aracılığıyla sonlandırılacaktır.
HKEY_LOCAL_MACHINE
Yazılım\Microsoft\Windows NT\CurrentVersion\Erişilebilirlik
HKEY_CURRENT_USER
Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe
Klingon RAT, ihlal edilen makinelerde sürekli varlığını sağlamak için birkaç farklı kalıcılık şeması başlatır. Tehdit, biri Geçerli Kullanıcı altında ve diğeri Yerel Makine'de olmak üzere iki Kayıt çalıştırma anahtarı oluşturur. Klingon RAT ayrıca Microsoft Ekran Büyüteci - magnify.exe için ikili dosyayı ele geçirebilir ve onu kötü amaçlı yazılımın kendisini çalıştırmaya zorlayabilir. Bu, herhangi bir yürütülebilir dosyanın işaretlenmesine ve bir 'hata ayıklayıcı' aracı olarak kullanılmasına izin veren Görüntü Dosyası Yürütme Seçenekleri aracılığıyla gerçekleştirilir. Bu tekniğin çalışması için kötü amaçlı yazılım, sistemde aşağıdaki iki Kayıt Defteri anahtarının bulunmasını sağlar:
Klingon RAT ayrıca, her Windows önyüklemesinden sonra 60 saniye içinde bozuk yükü başlatacak bir kalıcılık mekanizması görevi gören bir olay aboneliği oluşturmak için 'WMIC' kullanır. Başka bir teknik, kötü amaçlı yazılımın 'WinLogon' anahtarını değiştirmesine ve Windows başlatılırken RAT'ı çalıştırmaya zorlamasına izin verir.
Son olarak, Klingon RAT, sistemdeki kalıcılığını da sürdürebilen 'OneDriveUpdate' adı altında zamanlanmış bir görev oluşturur. Yapılandırılacak görev için, tehdit önce APPDATA'da 'elevtor.xml' adlı bir XML dosyasını bırakır.
Ayrıcalıklarını Yükseltmek
Kapsamlı kalıcılık tekniklerinin yanı sıra, Klingon RAT, ihlal edilen sistem üzerindeki ayrıcalıklarını yükseltmek için eşit derecede kapsamlı yöntemlerle donatılmıştır. Tehdit, önce iki kontrol gerçekleştirerek yönetici haklarına sahip olup olmadığını belirleyecektir. Klingonca RAT, '\\\\.\\PHYSICALDRIVE0;' dosyasını açmaya çalışacak. ve bunu başaramazsa, '\\\\.\\SCSI0' dosyasını açmaya çalışır. Her iki denetim de başarılı olmazsa, tehdit ayrıcalık yükseltme rutinlerini devreye sokar.
Klingonca RAT, belirli bir Kayıt Defteri anahtarından yararlanacak ve işlemi tamamlamak için computerdefaults.exe adlı bir programı çalıştıracaktır. Bir öncekine benzer başka bir istismar, 'Özellikler On Demand Helper' (Fodhelper.exe) programını içerir. 'Otomatik yükseltme' ayarı true olarak ayarlanmış bir ikili dosyadır. Zamanlanmış 'SilentCleanup' görevi de kullanılabilir. Tehdit aktörleri, mümkün olan en yüksek ayrıcalıklarla çalıştığı gerçeğini kötüye kullanırken, ayrıcalığı olmayan kullanıcılar tarafından başlatılma özelliğini de korur. Infosec araştırmacıları, Klingor RAT'ın kodunda başka bir teknik daha buldu - 'Olay Görüntüleyici' UAC baypası'. Ancak bu işlevsellik, tehdidin mevcut örneklerinde yanlış uygulanmış gibi görünüyor.
Klingon RAT, kötü amaçlı yazılım yaratıcıları tarafından piyasaya sürülen en yeni Golang ürünüdür. Siber suçluların tehdit araç setleri söz konusu olduğunda bu programlama diline geçişlerini daha da güçlendiriyor. Bireysel kullanıcılar ve kuruluşlar, bu yeni tehdit dalgasını hesaba katmak için siber güvenlik stratejilerinde uygun önlemleri almaya başlamalıdır.
