SwaetRAT rosszindulatú program: képességeinek és céljainak mélyebb megismerése
Table of Contents
Megtévesztő fenyegetés a távelérési képességekkel
A SwaetRAT egy kifinomult távelérési trójai (RAT), amely fejlett kijátszási technikákat alkalmaz az észlelés elkerülése érdekében, miközben megőrzi az állandóságot a feltört rendszereken. Ez a .Net-alapú rosszindulatú program képes parancsokat távolról végrehajtani, lehetővé téve a támadók számára, hogy különféle aljas célokra manipulálják a fertőzött eszközöket. A natív Windows-könyvtárak és reflexiós mechanizmusok kihasználásával alacsony szinten kölcsönhatásba lép az operációs rendszerrel, lehetővé téve számára a hasznos terhek végrehajtását és a rendszerfolyamatok vezérlését anélkül, hogy azonnali gyanút kelt.
Hogyan nyeri meg a lábát a SwaetRAT a rendszerekben?
A rosszindulatú program az API-szintű interakciók előnyeit használja a rendszeren belüli érvényesüléshez. Élő javítási technikákat alkalmaz a biztonsági védelem megkerülésére, módosítva azokat a funkciókat, amelyek jellemzően észlelik vagy naplózzák a gyanús tevékenységeket. Az egyik ilyen módosítás magában foglalja az AmsiScanBuffer() javítását, amely megakadályozza, hogy a biztonsági szoftverek elemezzék a rosszindulatú szkripteket. Ezenkívül a rosszindulatú program megváltoztatja az EtwEventWrite() funkciót, amely az eseménynaplók létrehozásáért felelős, így biztosítva, hogy tevékenységét a naplózási mechanizmusok észrevétlenül látják.
A SwaetRAT tovább erősíti pozícióját az ntdll.dll könyvtár manipulálásával, módosítva a kulcsfunkciókat, hogy előre meghatározott értékeket adjon vissza. Ez a megközelítés a rendszer architektúrájától függően változik, legyen az 32 bites vagy 64 bites, bemutatva annak alkalmazkodóképességét. Amint ezek a módosítások a helyükre kerültek, a rosszindulatú program dekódolja és végrehajtja a Base64 kódolású rakományt, amely végül betölt egy szerelvényt a további műveletekhez.
A hasznos teher és a végrehajtás alapos pillantása
A dekódolt hasznos adat egy hordozható végrehajtható (PE) fájlként épül fel, amely a Windows végrehajtható fájlok és a dinamikus hivatkozási könyvtárak (DLL) szabványos formátuma. A belépési pont osztályának egy példányának létrehozásával és metódusainak meghívásával a SwaetRAT biztosítja a rosszindulatú funkciók megfelelő végrehajtását. Az egyik kulcsfontosságú kijátszási taktikája az, hogy átmásolja magát a %LOCALAPPDATA%\Microsoft\_OneDrive.exe útvonalra. Ezt a viselkedést úgy tervezték, hogy megkerülje azokat a sandbox környezeteket, amelyek gyakran elemzik a rögzített könyvtárak fájljait.
Az állandóság megőrzése érdekében a SwaetRAT módosítja a rendszerleíró adatbázist, és indítási parancsikonokat hoz létre. A végrehajtható útvonalat a felhasználó Szoftverszerkezete alatti rendszerleíró kulcshoz írja, így biztosítva, hogy a rosszindulatú folyamat minden rendszerindításkor lefusson. Az Indítási mappában található megfelelő parancsikon lekéri ezt az elérési utat, és egy PowerShell-parancsot hajt végre a rosszindulatú program újraindítására, hatékonyan beágyazva magát a rendszer indítási folyamataiba.
Kommunikáció és parancsvégrehajtás
Amint működésbe lép, a rosszindulatú program kapcsolatot létesít egy parancs- és vezérlőkiszolgálóval (C2), lehetővé téve a távoli támadók számára, hogy utasításokat adjanak ki. A dekódolt hasznos adat kölcsönhatásba lép egy webes klienssel, és egy hexadecimálisan kódolt karakterláncot bájttömbbé alakít, mielőtt végrehajtaná az aspnet_compiler.exe fájlt ezekkel a dekódolt bájtokkal argumentumként. Ez a végrehajtási folyamat arra utal, hogy további rosszindulatú kódokat futtatnak legitim rendszerfolyamatok leple alatt.
Azonosított változatok és korábbi megfigyelések
A SwaetRAT-ot összekapcsolták a 2023-ban elemzett kampányokkal. Az abban a példányban vizsgált rosszindulatú programminta ugyanazokat a RAT-funkciókat tartotta meg, és a 144.126.149.221:7777 címen található C2-szerverhez volt társítva. A minta egyik figyelemre méltó jellemzője a % APPDATA%CCleaner.exe könyvtárba való replikációja volt, jelezve, hogy jól ismert szoftver segédprogramnak álcázza magát. Érdekes, hogy ebben a változatban a homályosság hiánya megkönnyítette az elemzők számára a távoli hozzáférési képességek és kommunikációs minták kinyerését.
A SwaetRAT tevékenységeinek következményei
A SwaetRAT jelenléte az eszközön jelentős biztonsági aggályokhoz vezethet. Távoli hozzáférési funkcióinak köszönhetően a támadók tetszőleges parancsokat hajthatnak végre, fájlokat manipulálhatnak, vagy további rosszindulatú rakományokat telepíthetnek. Ezen túlmenően az észlelés elkerülésére és az állandóság fenntartására való képessége azt jelenti, hogy a feltört rendszerek hosszabb ideig a támadók irányítása alatt maradhatnak anélkül, hogy a felhasználók bármilyen gyanús tevékenységet észlelnének.
A SwaetRAT-hoz hasonló fenyegetések által alkalmazott taktikák megértése mindenki számára kulcsfontosságú a hatékony védekezés megvalósításában. A rendszeres biztonsági frissítések, a szokatlan rendszermódosítások figyelése és a robusztus végpontvédelmi intézkedések alkalmazása segíthet csökkenteni az ilyen fenyegetések által jelentett kockázatokat. Azáltal, hogy tájékozottak és éberek maradnak, a felhasználók jobban megvédhetik digitális környezetüket az olyan rejtett behatolásoktól, mint a SwaetRAT.
