RAT-трояны используют более изощренные способы для сокрытия обнаружения


RAT-trojanНа протяжении многих лет среди злоумышленников особой популярностью пользуются трояны для удаленного доступа (RAT) с целью получения доступа к хранящимся на компьютерах жертв файлам и таким ресурсам, как камера, микрофон и т.д.

Традиционно инфицирование системы таким трояном происходит во время открытия пользователем вредоносного вложения в электронном письме или при загрузке файла с web-сайта или пиринговой сети. Оба вектора атаки предполагают использование файлов для загрузки вредоноса. По этой причине подобные атаки легче детектируются антивирусными решениями.

С недавних пор киберпреступники стали применять новую технику распространения RAT-троянов в обход решений безопасности. Новый метод позволяет злоумышленникам загружать полезную нагрузку в память, обходя антивирусы и современные технологии, способные детектировать только угрозы, основанные на файлах.

Суть такого метода в том, что в процессе выполнения вредоносная полезная нагрузка (файл) остается в памяти и не взаимодействует с диском в незашифрованном виде. Здесь стоит отметить, что новыми являются не сами трояны для удаленного доступа, а лишь применяемый злоумышленниками метод обхода обнаружения. Проанализировав данный способ инфицирования на примере трояна NanoCore, эксперты установили, что он также подходит и для других известных RAT.

После выполнения на системе жертвы вредонос копирует себя в

  • %APPDATA%\Microsoft\Blend\14.0\FeedCache\nvSCPAPISrv.exe

извлекает второй код

  • PerfWatson.exe

и выполняет оба кода. Зашифрованная динамически подключаемая библиотека (DDL), которая ответственна за распаковку и внедрение RAT, расшифровывается и копируется в память. Все настройки для DDL, а также для самого исполняемого кода NanoCore в зашифрованном виде хранятся в нескольких PNG-файлах в виде пиксельных данных. После расшифровки всех компонентов полезная нагрузка трояна внедряется в новый процесс с использованием Win32 API.

Исследователи отмечают, что описанный ими способ обхода обнаружения успешно используется киберпреступниками в ходе спонсируемых правительствами атаках на учреждения в Азии.


Обновлено (23.04.2016 01:45)