Malware SwaetRAT: głębsze spojrzenie na jego możliwości i cele
Table of Contents
Mylące zagrożenie z możliwością zdalnego dostępu
SwaetRAT to wyrafinowany trojan zdalnego dostępu (RAT), który wykorzystuje zaawansowane techniki unikania, aby uniknąć wykrycia, jednocześnie utrzymując trwałość w zagrożonych systemach. To złośliwe oprogramowanie oparte na .Net jest w stanie wykonywać polecenia zdalnie, umożliwiając atakującym manipulowanie zainfekowanymi urządzeniami w różnych nikczemnych celach. Wykorzystując natywne biblioteki systemu Windows i mechanizmy odbicia, wchodzi w interakcję z systemem operacyjnym na niskim poziomie, umożliwiając mu wykonywanie ładunków i kontrolowanie procesów systemowych bez wzbudzania natychmiastowego podejrzenia.
Jak SwaetRAT zdobywa przyczółek w systemach
Aby zadomowić się w systemie, złośliwe oprogramowanie wykorzystuje interakcje na poziomie API. Stosuje techniki łatania na żywo, aby ominąć zabezpieczenia, modyfikując funkcje, które zazwyczaj wykrywają lub rejestrują podejrzaną aktywność. Jedna z takich modyfikacji obejmuje łatanie AmsiScanBuffer(), co uniemożliwia oprogramowaniu zabezpieczającemu analizowanie złośliwych skryptów. Ponadto złośliwe oprogramowanie zmienia EtwEventWrite(), funkcję odpowiedzialną za generowanie dzienników zdarzeń, zapewniając, że jego działania pozostaną niewykryte przez mechanizmy rejestrowania.
SwaetRAT umacnia swoją pozycję, manipulując biblioteką ntdll.dll, modyfikując kluczowe funkcje, aby zwracały ustalone wartości. To podejście różni się w zależności od architektury systemu, czy jest 32-bitowa, czy 64-bitowa, pokazując jego adaptowalność. Po wprowadzeniu tych modyfikacji złośliwe oprogramowanie przechodzi do dekodowania i wykonywania ładunku zakodowanego w Base64, który ostatecznie ładuje zestaw do dalszych operacji.
Dokładniejsze spojrzenie na ładunek i wykonanie
Zdekodowany ładunek jest ustrukturyzowany jako plik Portable Executable (PE), standardowy format plików wykonywalnych systemu Windows i bibliotek DLL. Tworząc wystąpienie klasy punktu wejścia i wywołując jej metody, SwaetRAT zapewnia, że jego złośliwe funkcjonalności są prawidłowo wykonywane. Jedną z jego kluczowych taktyk unikania jest kopiowanie samego siebie do ścieżki %LOCALAPPDATA%\Microsoft\_OneDrive.exe. To zachowanie ma na celu ominięcie środowisk piaskownicy, które często analizują pliki z ustalonych katalogów.
Aby zachować trwałość, SwaetRAT modyfikuje rejestr systemu i tworzy skróty startowe. Zapisuje swoją ścieżkę wykonywalną do klucza rejestru w gałęzi Software użytkownika, zapewniając, że złośliwy proces będzie uruchamiany za każdym razem, gdy system się uruchomi. Odpowiedni skrót w folderze Startup pobiera tę ścieżkę, wykonując polecenie PowerShell w celu ponownego uruchomienia złośliwego oprogramowania, skutecznie osadzając się w procesach startowych systemu.
Komunikacja i wykonywanie poleceń
Po uruchomieniu złośliwe oprogramowanie nawiązuje połączenie z serwerem poleceń i kontroli (C2), umożliwiając zdalnym atakującym wydawanie instrukcji. Zdekodowany ładunek wchodzi w interakcję z klientem internetowym, konwertując zakodowany szesnastkowo ciąg znaków na tablicę bajtów przed uruchomieniem aspnet_compiler.exe z tymi zdekodowanymi bajtami jako argumentami. Ten przepływ wykonywania sugeruje próbę uruchomienia dalszego złośliwego kodu pod przykrywką legalnych procesów systemowych.
Zidentyfikowane warianty i poprzednie obserwacje
SwaetRAT został powiązany z kampaniami analizowanymi w 2023 r. Próbka złośliwego oprogramowania badana w tym przypadku zachowała te same funkcjonalności RAT i była powiązana z serwerem C2 znajdującym się pod adresem 144.126.149.221:7777. Godną uwagi cechą tej próbki była jej replikacja do katalogu % APPDATA%CCleaner.exe, co wskazywało na próbę podszywania się pod znane narzędzie programowe. Co ciekawe, brak zaciemniania w tej odmianie ułatwił analitykom wyodrębnienie jej możliwości zdalnego dostępu i wzorców komunikacji.
Konsekwencje działań SwaetRAT
Obecność SwaetRAT na urządzeniu może prowadzić do poważnych obaw o bezpieczeństwo. Biorąc pod uwagę funkcje zdalnego dostępu, atakujący mogliby wykonywać dowolne polecenia, manipulować plikami lub wdrażać dodatkowe złośliwe ładunki. Ponadto jego zdolność do unikania wykrycia i utrzymywania trwałości oznacza, że naruszone systemy mogą pozostawać pod kontrolą atakującego przez dłuższy czas, a użytkownicy nie zauważą żadnej podejrzanej aktywności.
Zrozumienie taktyk stosowanych przez zagrożenia takie jak SwaetRAT jest kluczowe dla każdego, kto wdraża skuteczne środki obronne. Regularne aktualizacje zabezpieczeń, monitorowanie nietypowych modyfikacji systemu i stosowanie solidnych środków ochrony punktów końcowych może pomóc złagodzić ryzyko stwarzane przez takie zagrożenia. Dzięki pozostawaniu poinformowanym i czujnym użytkownicy mogą lepiej chronić swoje środowiska cyfrowe przed ukrytymi włamaniami, takimi jak SwaetRAT.
