Klingon RAT

惡意軟件作者轉向開源編程語言 Golang 進行創作的趨勢似乎只會越來越強。因此，用 Golang 編寫的惡意軟件數量從未如此之多。威脅所顯示的複雜程度的提高也很顯著。信息安全研究人員最近檢測到了一種具有威脅性的遠程訪問木馬，他們將威脅命名為 Klingon RAT。

由於其最獨特的代碼，克林貢 RAT 首先引起了研究人員的注意。這在網絡威脅領域相當罕見 - 惡意軟件創建者經常重用大量代碼來減少完成新的威脅工具所需的時間。克林貢 RAT 具有 RAT 威脅所期望的通常特徵。然而，除此之外，它還配備了大量擴展的針對安全產品的措施、持久性機制和特權升級方法。

初始活動

Klingon RAT 對受感染系統採取的首要行動之一是試圖殺死與反惡意軟件安全產品相關的 500 多個不同進程。威脅檢查系統上的活動進程，並將它們與目標進程列表進行比較。任何匹配的進程都將通過 task kill 命令終止。

HKEY_LOCAL_MACHINE
軟件\Microsoft\Windows NT\CurrentVersion\Accessibility

HKEY_CURRENT_USER
Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe

為了確保其繼續存在於被破壞的機器上，克林貢 RAT 啟動了幾種不同的持久性方案。該威脅創建了兩個註冊表運行鍵——一個在當前用戶下，一個在本地機器上。 Klingon RAT 還可以劫持 Microsoft 屏幕放大鏡的二進製文件 - magnify.exe，並強制它執行惡意軟件本身。這是通過圖像文件執行選項實現的，該選項允許標記任何可執行文件並將其用作“調試器”工具。為了使這項技術起作用，惡意軟件確保系統上存在以下兩個註冊表項：

Klingon RAT 還使用“WMIC”來生成事件訂閱，該訂閱充當持久性機制，在每次 Windows 啟動後 60 秒內啟動損壞的有效負載。另一種技術允許惡意軟件修改“WinLogon”鍵並強制它在 Windows 啟動期間運行 RAT。

最後，克林貢 RAT 生成名為“OneDriveUpdate”的計劃任務，該任務也可以在系統上保持其持久性。對於要配置的任務，威脅首先會在 APPDATA 中放置一個名為“elevtor.xml”的 XML 文件。

提升其特權

除了其廣泛的持久性技術外，克林貢 RAT 還配備了同樣廣泛的方法來升級其對受攻擊系統的特權。威脅將首先通過執行兩項檢查來確定它是否還沒有管理員權限。 Klingon RAT 將嘗試打開 '\\\\.\\PHYSICALDRIVE0;'並且，如果它沒有這樣做，它將嘗試打開“\\\\.\\SCSI0”。如果這兩項檢查都不成功，威脅將使用其特權升級例程。

Klingon RAT 將利用特定的註冊表項並運行名為 computerdefaults.exe 的程序來完成該過程。另一種與前一個類似的漏洞利用程序“Features on Demand Helper”（Fodhelper.exe）。它是一個二進製文件，其 'autoelevate' 設置設置為 true。計劃任務“SilentCleanup”也可以被利用。威脅行為者濫用了這樣一個事實，即它以盡可能高的特權運行，同時還保持由非特權用戶啟動的能力。信息安全研究人員在 Klingor RAT 的代碼中發現了另一種技術——“事件查看器”UAC 繞過。但是，此功能似乎在當前的威脅樣本中未正確實現。

Klingon RAT 只是惡意軟件創建者發布的最新 Golang 產品。當涉及到他們的威脅工具包時，它進一步加強了網絡犯罪分子轉向這種編程語言的線索。個人用戶和組織應開始在其網絡安全戰略中採取適當措施來應對這一新的威脅浪潮。