Η ανάλυση malware αποκαλύπτει εξελιγμένο RAT
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η ανάλυση malware αποκαλύπτει εξελιγμένο RAT
https://www.secnews.gr/649664/analisi-malware-appokaliptei-ekseligmeno-rat/
May 29th 2025, 16:55
by Absenta Mia
Ένα νέο εξελιγμένο εργαλείο απομακρυσμένης πρόσβασης (Remote Access Trojan – RAT), το οποίο λειτουργούσε για εβδομάδες σε ένα παραβιασμένο σύστημα, εντοπίστηκε και αναλύθηκε από ερευνητές ασφαλείας.
Δείτε επίσης: Interlock ransomware: Η συμμορία χρησιμοποιεί το νέο NodeSnake RAT
Σύμφωνα με την Ομάδα Αντιμετώπισης Περιστατικών FortiGuard της Fortinet, το κακόβουλο λογισμικό εκτελούνταν εντός μιας νόμιμης διεργασίας των Windows και χρησιμοποιούσε προηγμένες τεχνικές αποφυγής ανίχνευσης, καθιστώντας την ανάκτηση και επιθεώρησή του ιδιαίτερα δύσκολη. Συγκεκριμένα, εντοπίστηκε να τρέχει μέσα στη διεργασία dllhost.exe με αναγνωριστικό PID 8200.
Οι επικεφαλίδες Portable Executable (PE) και DOS, οι οποίες είναι κρίσιμες για την αναγνώριση και ανακατασκευή αρχείων κακόβουλου λογισμικού, είχαν σκοπίμως αλλοιωθεί, με στόχο την παρεμπόδιση των παραδοσιακών μεθόδων ανάλυσης. Η Fortinet κατάφερε να συνεχίσει την ανάλυση μόνο με τη χρήση ενός πλήρους αρχείου απόρριψης μνήμης (memory dump) μεγέθους 33 GB από το μολυσμένο σύστημα.
Για τις ανάγκες της διερεύνησης, η ομάδα αναδημιούργησε το παραβιασμένο περιβάλλον και φόρτωσε το κακόβουλο λογισμικό σε μια διεργασία dllhost.exe με ενεργοποιημένη αποσφαλμάτωση (debugging).
Ο εντοπισμός του σημείου εισόδου (entry point) απαιτούσε χειροκίνητη εργασία, καθώς δεν υπήρχαν διαθέσιμες οι παραδοσιακές πληροφορίες από τις επικεφαλίδες. Τελικά, το σημείο εισόδου βρέθηκε στη διεύθυνση μνήμης 0x1C3EEFEE0A8.
Δείτε ακόμα: Bitdefender antivirus: Ψεύτικο site διανέμει το Venom RAT
Επειδή το κακόβουλο λογισμικό βασιζόταν σε περισσότερες από 250 συναρτήσεις των Windows API κατανεμημένες σε 16 διαφορετικές βιβλιοθήκες, κάθε μία από αυτές έπρεπε να επανατοποθετηθεί και να διορθωθεί χειροκίνητα για τοπική εκτέλεση. Οι απαραίτητες βιβλιοθήκες που δεν φορτώνονταν αυτόματα εισάγονταν χειροκίνητα με χρήση των συναρτήσεων LoadLibraryA() ή LoadLibraryW().
Η ανάλυση malware αποκαλύπτει εξελιγμένο RAT
Μόλις ενεργοποιούνταν, το κακόβουλο λογισμικό αποκρυπτογραφούσε τις πληροφορίες του διακομιστή εντολών και ελέγχου (C2), συγκεκριμένα το domain rushpapers.com και τη θύρα 443, απευθείας από τη μνήμη.
Χρησιμοποιώντας τις συναρτήσεις SealMessage() και DecryptMessage(), κρυπτογραφούσε και αποκρυπτογραφούσε τα πακέτα δεδομένων πριν και μετά από κάθε μετάδοση μέσω TLS. Οι αποκρυπτογραφημένες πληροφορίες αποκάλυπταν στοιχεία του συστήματος, όπως:
"OS: Windows 10 / 64-bit (10.0.19045)".
Η κρυπτογραφημένη επικοινωνία βασιζόταν σε έναν προσαρμοσμένο αλγόριθμο XOR. Για κάθε μετάδοση χρησιμοποιούνταν ένα τυχαία παραγόμενο κλειδί, προσθέτοντας ένα επιπλέον επίπεδο απόκρυψης και αποφυγής εντοπισμού.
Μέσω δυναμικής ανάλυσης σε ελεγχόμενο περιβάλλον, η Fortinet επιβεβαίωσε την πλήρη λειτουργικότητα αυτού του RAT, παρά την ύπουλη εγκατάστασή του και τις τεχνικές απόκρυψης που χρησιμοποιούσε.
Δείτε επίσης: Το «ResolverRAT» στοχεύει υπηρεσίες υγειονομικής περίθαλψης
Αυτό υπογραμμίζει την ανάγκη για πολυεπίπεδη άμυνα και σύγχρονες τεχνικές ανίχνευσης κακόβουλου λογισμικού, όπως ανάλυση συμπεριφοράς και monitoring μνήμης, καθώς οι παραδοσιακές μέθοδοι (π.χ. βάσει υπογραφών) αποδεικνύονται ανεπαρκείς απέναντι σε τέτοιες απειλές.
Πηγή: infosecurity-magazine
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η ανάλυση malware αποκαλύπτει εξελιγμένο RAT
https://www.secnews.gr/649664/analisi-malware-appokaliptei-ekseligmeno-rat/
May 29th 2025, 16:55
by Absenta Mia
Ένα νέο εξελιγμένο εργαλείο απομακρυσμένης πρόσβασης (Remote Access Trojan – RAT), το οποίο λειτουργούσε για εβδομάδες σε ένα παραβιασμένο σύστημα, εντοπίστηκε και αναλύθηκε από ερευνητές ασφαλείας.
Δείτε επίσης: Interlock ransomware: Η συμμορία χρησιμοποιεί το νέο NodeSnake RAT
Σύμφωνα με την Ομάδα Αντιμετώπισης Περιστατικών FortiGuard της Fortinet, το κακόβουλο λογισμικό εκτελούνταν εντός μιας νόμιμης διεργασίας των Windows και χρησιμοποιούσε προηγμένες τεχνικές αποφυγής ανίχνευσης, καθιστώντας την ανάκτηση και επιθεώρησή του ιδιαίτερα δύσκολη. Συγκεκριμένα, εντοπίστηκε να τρέχει μέσα στη διεργασία dllhost.exe με αναγνωριστικό PID 8200.
Οι επικεφαλίδες Portable Executable (PE) και DOS, οι οποίες είναι κρίσιμες για την αναγνώριση και ανακατασκευή αρχείων κακόβουλου λογισμικού, είχαν σκοπίμως αλλοιωθεί, με στόχο την παρεμπόδιση των παραδοσιακών μεθόδων ανάλυσης. Η Fortinet κατάφερε να συνεχίσει την ανάλυση μόνο με τη χρήση ενός πλήρους αρχείου απόρριψης μνήμης (memory dump) μεγέθους 33 GB από το μολυσμένο σύστημα.
Για τις ανάγκες της διερεύνησης, η ομάδα αναδημιούργησε το παραβιασμένο περιβάλλον και φόρτωσε το κακόβουλο λογισμικό σε μια διεργασία dllhost.exe με ενεργοποιημένη αποσφαλμάτωση (debugging).
Ο εντοπισμός του σημείου εισόδου (entry point) απαιτούσε χειροκίνητη εργασία, καθώς δεν υπήρχαν διαθέσιμες οι παραδοσιακές πληροφορίες από τις επικεφαλίδες. Τελικά, το σημείο εισόδου βρέθηκε στη διεύθυνση μνήμης 0x1C3EEFEE0A8.
Δείτε ακόμα: Bitdefender antivirus: Ψεύτικο site διανέμει το Venom RAT
Επειδή το κακόβουλο λογισμικό βασιζόταν σε περισσότερες από 250 συναρτήσεις των Windows API κατανεμημένες σε 16 διαφορετικές βιβλιοθήκες, κάθε μία από αυτές έπρεπε να επανατοποθετηθεί και να διορθωθεί χειροκίνητα για τοπική εκτέλεση. Οι απαραίτητες βιβλιοθήκες που δεν φορτώνονταν αυτόματα εισάγονταν χειροκίνητα με χρήση των συναρτήσεων LoadLibraryA() ή LoadLibraryW().
Η ανάλυση malware αποκαλύπτει εξελιγμένο RAT
Μόλις ενεργοποιούνταν, το κακόβουλο λογισμικό αποκρυπτογραφούσε τις πληροφορίες του διακομιστή εντολών και ελέγχου (C2), συγκεκριμένα το domain rushpapers.com και τη θύρα 443, απευθείας από τη μνήμη.
Χρησιμοποιώντας τις συναρτήσεις SealMessage() και DecryptMessage(), κρυπτογραφούσε και αποκρυπτογραφούσε τα πακέτα δεδομένων πριν και μετά από κάθε μετάδοση μέσω TLS. Οι αποκρυπτογραφημένες πληροφορίες αποκάλυπταν στοιχεία του συστήματος, όπως:
"OS: Windows 10 / 64-bit (10.0.19045)".
Η κρυπτογραφημένη επικοινωνία βασιζόταν σε έναν προσαρμοσμένο αλγόριθμο XOR. Για κάθε μετάδοση χρησιμοποιούνταν ένα τυχαία παραγόμενο κλειδί, προσθέτοντας ένα επιπλέον επίπεδο απόκρυψης και αποφυγής εντοπισμού.
Μέσω δυναμικής ανάλυσης σε ελεγχόμενο περιβάλλον, η Fortinet επιβεβαίωσε την πλήρη λειτουργικότητα αυτού του RAT, παρά την ύπουλη εγκατάστασή του και τις τεχνικές απόκρυψης που χρησιμοποιούσε.
Δείτε επίσης: Το «ResolverRAT» στοχεύει υπηρεσίες υγειονομικής περίθαλψης
Αυτό υπογραμμίζει την ανάγκη για πολυεπίπεδη άμυνα και σύγχρονες τεχνικές ανίχνευσης κακόβουλου λογισμικού, όπως ανάλυση συμπεριφοράς και monitoring μνήμης, καθώς οι παραδοσιακές μέθοδοι (π.χ. βάσει υπογραφών) αποδεικνύονται ανεπαρκείς απέναντι σε τέτοιες απειλές.
Πηγή: infosecurity-magazine
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz