Злоумышленники используют новый способ обхода обнаружения RAT

В течение многих лет злоумышленники используют трояны для удаленного доступа (RAT) с целью получения доступа к хранящимся на компьютерах жертв файлам и таким ресурсам, как камера, микрофон и т.д. Традиционно RAT инфицирует систему, когда пользователь открывает вредоносное вложение электронного письма или загружает файл с web-сайта или пиринговой сети. Оба вектора атаки предполагают использование файлов для загрузки вредоноса, поэтому подобные атаки легче детектируются.

По данным исследователей SentinelOne, киберпреступники стали применять новую технику распространения троянов для удаленного доступа в обход решений безопасности. Используемый злоумышленниками метод позволяет им загружать полезную нагрузку в память и обходить антивирусы и современные технологии, способные детектировать только угрозы, основанные на файлах.

Новый метод заключается в том, что в процессе выполнения вредоносная полезная нагрузка (файл) остается в памяти и не взаимодействует с диском в незашифрованном виде. Исследователи подчеркнули, что новыми являются не сами трояны для удаленного доступа, а применяемый злоумышленниками метод обхода обнаружения. В SentinelOne проанализировали способ инфицирования на примере трояна NanoCore, однако он также подходит и для других известных RAT.

После выполнения на системе жертвы вредонос копирует себя в %APPDATA%\Microsoft\Blend\14.0\FeedCache\nvSCPAPISrv.exe, извлекает второй код PerfWatson.exe и выполняет оба кода. Зашифрованная динамически подключаемая библиотека (DDL), ответственная за распаковку и внедрение RAT, расшифровывается и копируется в память. Настройки для DDL и самого исполняемого кода NanoCore в зашифрованном виде хранятся в нескольких PNG-файлах в виде пиксельных данных. После расшифровки всех компонентов полезная нагрузка трояна внедряется в новый процесс с использованием Win32 API.

Описанный исследователями способ обхода обнаружения успешно используется киберпреступниками в ходе спонсируемых правительствами атаках на учреждения в Азии.

Источник: securitylab.ru

Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s