Klingon RAT

恶意软件作者转向开源编程语言 Golang 进行创作的趋势似乎只会越来越强。因此，用 Golang 编写的恶意软件数量从未如此之多。威胁所显示的复杂程度的提高也很显着。信息安全研究人员最近检测到了一种具有威胁性的远程访问木马，他们将威胁命名为 Klingon RAT。

由于其最独特的代码，克林贡 RAT 首先引起了研究人员的注意。这在网络威胁领域相当罕见 - 恶意软件创建者经常重用大量代码来减少完成新的威胁工具所需的时间。克林贡 RAT 具有 RAT 威胁所期望的通常特征。然而，除此之外，它还配备了大量扩展的针对安全产品的措施、持久性机制和特权升级方法。

初始活动

Klingon RAT 对受感染系统采取的首要行动之一是试图杀死与反恶意软件安全产品相关的 500 多个不同进程。威胁检查系统上的活动进程，并将它们与目标进程列表进行比较。任何匹配的进程都将通过 task kill 命令终止。

HKEY_LOCAL_MACHINE
软件\Microsoft\Windows NT\CurrentVersion\Accessibility

HKEY_CURRENT_USER
Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe

为了确保其继续存在于被破坏的机器上，克林贡 RAT 启动了几种不同的持久性方案。该威胁创建了两个注册表运行键——一个在当前用户下，一个在本地机器上。 Klingon RAT 还可以劫持 Microsoft 屏幕放大镜的二进制文件 - magnify.exe，并强制它执行恶意软件本身。这是通过图像文件执行选项实现的，该选项允许标记任何可执行文件并将其用作“调试器”工具。为了使这项技术起作用，恶意软件确保系统上存在以下两个注册表项：

Klingon RAT 还使用“WMIC”来生成事件订阅，该订阅充当持久性机制，在每次 Windows 启动后 60 秒内启动损坏的有效负载。另一种技术允许恶意软件修改“WinLogon”键并强制它在 Windows 启动期间运行 RAT。

最后，克林贡 RAT 生成名为“OneDriveUpdate”的计划任务，该任务也可以在系统上保持其持久性。对于要配置的任务，威胁首先会在 APPDATA 中放置一个名为“elevtor.xml”的 XML 文件。

提升其特权

除了其广泛的持久性技术外，克林贡 RAT 还配备了同样广泛的方法来升级其对受攻击系统的特权。威胁将首先通过执行两项检查来确定它是否还没有管理员权限。 Klingon RAT 将尝试打开 '\\\\.\\PHYSICALDRIVE0;'并且，如果它没有这样做，它将尝试打开“\\\\.\\SCSI0”。如果这两项检查都不成功，威胁将使用其特权升级例程。

Klingon RAT 将利用特定的注册表项并运行名为 computerdefaults.exe 的程序来完成该过程。另一种与前一个类似的漏洞利用程序“Features on Demand Helper”（Fodhelper.exe）。它是一个二进制文件，其 'autoelevate' 设置设置为 true。计划任务“SilentCleanup”也可以被利用。威胁行为者滥用了这样一个事实，即它以尽可能高的特权运行，同时还保持由非特权用户启动的能力。信息安全研究人员在 Klingor RAT 的代码中发现了另一种技术——“事件查看器”UAC 绕过。但是，此功能似乎在当前的威胁样本中未正确实现。

Klingon RAT 只是恶意软件创建者发布的最新 Golang 产品。当涉及到他们的威胁工具包时，它进一步加强了网络犯罪分子转向这种编程语言的线索。个人用户和组织应开始在其网络安全战略中采取适当措施来应对这一新的威胁浪潮。