SwaetRAT kenkėjiška programa: išsamesnis jos galimybių ir tikslų tyrimas

Apgaulinga grėsmė naudojant nuotolinės prieigos galimybes

SwaetRAT yra sudėtingas nuotolinės prieigos Trojos arklys (RAT), kuris naudoja pažangius vengimo būdus, kad būtų išvengta aptikimo ir išlaikomas atkaklumas pažeistose sistemose. Ši .Net pagrindu veikianti kenkėjiška programa gali vykdyti komandas nuotoliniu būdu, todėl užpuolikai gali manipuliuoti užkrėstais įrenginiais įvairiais nešvankiais tikslais. Panaudodama vietines „Windows“ bibliotekas ir atspindžio mechanizmus, ji sąveikauja su operacine sistema žemu lygiu, todėl ji gali vykdyti naudingąsias apkrovas ir valdyti sistemos procesus nesukeldama tiesioginio įtarimo.

Kaip SwaetRAT įsitvirtina sistemose

Siekdama įsitvirtinti sistemoje, kenkėjiška programa naudojasi API lygio sąveika. Jame naudojami tiesioginio pataisymo metodai, siekiant apeiti apsaugos priemones, modifikuoti funkcijas, kurios paprastai aptinka arba registruoja įtartiną veiklą. Vienas iš tokių pakeitimų apima AmsiScanBuffer() pataisymą, kuris neleidžia saugos programinei įrangai analizuoti kenkėjiškų scenarijų. Be to, kenkėjiška programa pakeičia EtwEventWrite(), funkciją, atsakingą už įvykių žurnalų generavimą, užtikrindama, kad registravimo mechanizmai nepastebėtų jos veiklos.

„SwaetRAT“ dar labiau sustiprina savo poziciją, pažeisdama ntdll.dll biblioteką, pakeisdama pagrindines funkcijas, kad būtų grąžintos iš anksto nustatytos reikšmės. Šis metodas skiriasi, atsižvelgiant į sistemos architektūrą, nesvarbu, ar ji 32 bitų, ar 64 bitų, ir parodo jos pritaikomumą. Įdiegus šias modifikacijas, kenkėjiška programa pradeda dekoduoti ir vykdyti „Base64“ koduotą naudingąją apkrovą, kuri galiausiai įkelia agregatą tolimesnėms operacijoms.

Atidžiau pažvelkite į jo naudingumą ir vykdymą

Dekoduotas naudingas krovinys yra struktūrizuotas kaip nešiojamasis vykdomasis (PE) failas, standartinis „Windows“ vykdomųjų failų ir dinaminių saitų bibliotekų (DLL) formatas. Sukurdama įėjimo taško klasės egzempliorių ir iškviesdama jos metodus, SwaetRAT užtikrina, kad jos kenkėjiškos funkcijos būtų tinkamai vykdomos. Viena iš pagrindinių jos vengimo taktikų apima savęs nukopijavimą į %LOCALAPPDATA%\Microsoft\_OneDrive.exe kelią. Šis elgesys skirtas apeiti smėlio dėžės aplinkas, kurios dažnai analizuoja failus iš fiksuotų katalogų.

Kad išlaikytų pastovumą, SwaetRAT modifikuoja sistemos registrą ir sukuria paleisties nuorodas. Jis įrašo vykdomąjį kelią į registro raktą, esantį vartotojo programinės įrangos avilyje, užtikrindamas, kad kenkėjiškas procesas vyktų kiekvieną kartą, kai sistema paleidžiama. Atitinkamas spartusis klavišas aplanke „Startup“ nuskaito šį kelią, vykdydamas „PowerShell“ komandą, kad iš naujo paleistų kenkėjišką programą, veiksmingai įsiterpdama į sistemos paleisties procesus.

Ryšys ir komandų vykdymas

Pradėjus veikti, kenkėjiška programa užmezga ryšį su komandų ir valdymo (C2) serveriu, leidžiančiu nuotoliniams užpuolikams duoti nurodymus. Dekoduota naudingoji apkrova sąveikauja su žiniatinklio klientu, konvertuodama šešioliktainiu kodu užkoduotą eilutę į baitų masyvą prieš paleidžiant aspnet_compiler.exe su šiais dekoduotais baitais kaip argumentais. Šis vykdymo srautas rodo pastangas paleisti tolesnį kenkėjišką kodą, prisidengiant teisėtais sistemos procesais.

Nustatyti variantai ir ankstesni stebėjimai

SwaetRAT buvo susietas su 2023 m. analizuotomis kampanijomis. Tuo atveju ištirtas kenkėjiškų programų pavyzdys išlaikė tas pačias RAT funkcijas ir buvo susietas su C2 serveriu, esančiu adresu 144.126.149.221:7777. Ypatinga šio pavyzdžio ypatybė buvo jo replikacija į % APPDATA%CCleaner.exe katalogą, o tai rodo, kad jis bando apsimesti gerai žinoma programine įranga. Įdomu tai, kad dėl šio varianto neryškumo analitikams buvo lengviau išgauti nuotolinės prieigos galimybes ir ryšio modelius.

„SwaetRAT“ veiklos pasekmės

SwaetRAT buvimas įrenginyje gali sukelti didelių saugumo problemų. Atsižvelgdami į nuotolinės prieigos funkcijas, užpuolikai gali vykdyti savavališkas komandas, manipuliuoti failais arba įdiegti papildomų kenksmingų krovinių. Be to, jos galimybė išvengti aptikimo ir išlaikyti atkaklumą reiškia, kad pažeistos sistemos ilgą laiką gali likti užpuolikų valdomos, vartotojams nepastebėjus jokios įtartinos veiklos.

Norint įgyvendinti veiksmingą gynybą, labai svarbu suprasti tokių grėsmių kaip SwaetRAT taktiką. Reguliarūs saugos naujinimai, neįprastų sistemos pakeitimų stebėjimas ir patikimų galinių taškų apsaugos priemonių taikymas gali padėti sumažinti tokių grėsmių keliamą riziką. Būdami informuoti ir budrūs, vartotojai gali geriau apsaugoti savo skaitmeninę aplinką nuo slaptų įsilaužimų, tokių kaip SwaetRAT.