Ένα νέο και επικίνδυνο κομμάτι κακόβουλου λογισμικού εμφανίστηκε στο τοπίο απειλών και είναι κατασκευασμένο για να παραμένει κρυφό, να λειτουργεί και να διατηρεί τον έλεγχο οποιουδήποτε συστήματος μολύνει.
Το CrySome RAT είναι γραμμένο σε C# και στοχεύει το οικοσύστημα .NET, παρέχοντας στους εισβολείς πλήρη απομακρυσμένο έλεγχο σε παραβιασμένα μηχανήματα Windows.
Από την κλοπή κωδικών πρόσβασης και την εγγραφή πατημάτων πλήκτρων μέχρι την εκκίνηση αόρατων περιόδων σύνδεσης στην επιφάνεια εργασίας, το CrySome έχει σχεδιαστεί για μακροπρόθεσμη πρόσβαση και βαθύ έλεγχο του συστήματος σε ένα μόνιμο κανάλι εντολών και ελέγχου που βασίζεται σε TCP.
Αυτό που κάνει το CrySome να ξεχωρίζει από άλλα trojan απομακρυσμένης πρόσβασης είναι η ικανότητά του να επιβιώνει ακόμη και από μια πλήρη επαναφορά εργοστασιακών ρυθμίσεων.
Το κακόβουλο λογισμικό αντιγράφεται στο διαμέρισμα ανάκτησης των Windows που βρίσκεται στο C:\Recovery\OEM και τροποποιεί το μητρώο εκτός σύνδεσης για να ενεργοποιήσει την εκτέλεση μετά από μια επαναφορά συστήματος.
Αυτό σημαίνει ότι ακόμη και όταν ένα θύμα πιστεύει ότι το μηχάνημά του έχει καθαριστεί εντελώς, το κακόβουλο λογισμικό επανεκκινείται αθόρυβα. Αυτό το επίπεδο μηχανικής επιμονής εμφανίζεται σπάνια και τοποθετεί το CrySome σε μια πιο σοβαρή κατηγορία απειλών σε σύγκριση με τυπικούς αρουραίους που κυκλοφορούν στη φύση.
Οι αναλυτές της Cyfirma εντόπισαν το κακόβουλο λογισμικό αφού διεξήγαγε τόσο στατική όσο και δυναμική ανάλυση του απομεταγλωττισμένου κώδικά του, παρέχοντας μια σαφή ματιά στην εσωτερική του δομή και τον αρθρωτό σχεδιασμό του.
Η ερευνητική ομάδα σημείωσε ότι το CrySome ακολουθεί μια αρθρωτή αρχιτεκτονική, όπου μια φάση εκκίνησης φορτώνει τις ρυθμίσεις διαμόρφωσης και ενεργοποιεί συγκεκριμένες δυνατότητες με βάση τις οδηγίες του χειριστή.
Οι ερευνητές της Cyfirma σημείωσαν επίσης ότι το κακόβουλο λογισμικό επικοινωνεί με τον διακομιστή εντολών και ελέγχου μέσω TCP και στέλνει αμέσως ένα λεπτομερές προφίλ του μολυσμένου συστήματος κατά τη σύνδεση, συμπεριλαμβανομένου του ονόματος χρήστη, των λεπτομερειών του λειτουργικού συστήματος, του χρόνου λειτουργίας, του κωδικού χώρας και ακόμη και του τίτλου του τρέχοντος ανοιχτού παραθύρου.
Το κακόβουλο λογισμικό φέρει επίσης μια επιθετική εργαλειοθήκη αποφυγής άμυνας μέσω της μονάδας AVKiller.
Αυτό το στοιχείο τερματίζει τις διαδικασίες προστασίας από ιούς, απενεργοποιεί τις υπηρεσίες ασφαλείας, αποκλείει τις προσπάθειες εγκατάστασης προστασίας από ιούς, δηλητηριάζει το αρχείο κεντρικών υπολογιστών του συστήματος για να αποκόψει τους διακομιστές ενημέρωσης AV και χρησιμοποιεί την παραβίαση επιλογών εκτέλεσης αρχείου εικόνας για να αποτρέψει την εκκίνηση εργαλείων ασφαλείας.
Σημαντικά προϊόντα ασφαλείας από προμηθευτές, συμπεριλαμβανομένων των Windows Defender, Kaspersky, CrowdStrike, ESET, Avast και SentinelOne είναι όλα ειδικά στοχευμένα. Μόλις η μονάδα AVKiller ολοκληρώσει τη δουλειά της, το μολυσμένο σύστημα παραμένει με ελάχιστη έως καθόλου ενεργή προστασία.
Η εμβέλεια της απειλής προχωρά ακόμη περισσότερο μέσω της μονάδας Hidden Virtual Network Computing ή HVNC, η οποία επιτρέπει στους εισβολείς να αλληλεπιδρούν με το μηχάνημα του θύματος μέσω μιας εντελώς αόρατης συνεδρίας στην επιφάνεια εργασίας.
Αυτό σημαίνει ότι ένας εισβολέας μπορεί να ανοίξει προγράμματα περιήγησης, να αποκτήσει πρόσβαση σε αρχεία και να πλοηγηθεί στο σύστημα χωρίς ο χρήστης να δει ποτέ καμία δραστηριότητα στην οθόνη του.
Σε συνδυασμό με καταγραφή πλήκτρων, συλλογή διαπιστευτηρίων από προγράμματα περιήγησης που βασίζονται σε Chromium, πρόσβαση στην κάμερα web, λήψη οθόνης και υποστήριξη διακομιστή μεσολάβησης SOCKS για πλευρική κίνηση, το CrySome λειτουργεί περισσότερο σαν ένα πλήρες πλαίσιο μετά την εκμετάλλευση παρά με ένα απλό εργαλείο απομακρυσμένης πρόσβασης.
Άμυνα αποφυγή μέσω της ενότητας AVKiller
Μία από τις πιο σημαντικές τεχνικά πτυχές του CrySome RAT είναι ο τρόπος με τον οποίο χειρίζεται την αμυντική αποφυγή μέσω της αποκλειστικής μονάδας AVKiller.
.webp.jpeg)
Η μονάδα διατηρεί κωδικοποιημένες λίστες ονομάτων διεργασιών προστασίας από ιούς, ονομάτων υπηρεσιών ασφαλείας, λέξεων-κλειδιών που σχετίζονται με το πρόγραμμα εγκατάστασης και τομέων διακομιστή ενημέρωσης προστασίας από ιούς.
Όταν είναι ενεργή, μια συνάρτηση που ονομάζεται ScanAndKillProcesses() εκτελείται συνεχώς, σαρώνοντας όλες τις ενεργές διεργασίες στο σύστημα και τερματίζοντας αμέσως όσες ταιριάζουν με την εσωτερική του λίστα.
Χρησιμοποιεί παράλληλη εκτέλεση για να το κάνει αυτό γρήγορα, που σημαίνει ότι οι διεργασίες ασφαλείας σκοτώνονται σχεδόν αμέσως μόλις επανεκκινηθούν, χωρίς να αφήνει κανένα παράθυρο για ανάκτηση προστασίας.
Πέρα από τις διαδικασίες θανάτωσης, η λειτουργική μονάδα καταχράται επίσης το κλειδί μητρώου Επιλογές εκτέλεσης αρχείου εικόνας των Windows για να εκχωρήσει ένα ψεύτικο πρόγραμμα εντοπισμού σφαλμάτων σε στοχευμένα εκτελέσιμα αρχεία ασφαλείας.
Κάθε φορά που ένα αποκλεισμένο εργαλείο προσπαθεί να εκκινήσει, τα Windows το ανακατευθύνουν σιωπηλά σε μια αβλαβή εντολή που δεν κάνει τίποτα.
.webp.jpeg)
Η εφαρμογή ασφαλείας φαίνεται να ξεκινά, αλλά δεν εκτελείται ποτέ, δίνοντας στα θύματα κανένα ορατό σημάδι ότι η προστασία τους έχει σταματήσει.
Η ενότητα καλεί επίσης το PoisonHostsFile(), το οποίο ξαναγράφει το αρχείο κεντρικών υπολογιστών του συστήματος για να ανακατευθύνει τους τομείς ενημέρωσης προστασίας από ιούς στο 0.0.0.0, αποκλείοντας εξ ολοκλήρου τις ενημερώσεις υπογραφής και ορισμού.
Με την πάροδο του χρόνου, ακόμα κι αν ένα προϊόν ασφαλείας καταφέρει να επιβιώσει, γίνεται ξεπερασμένο και πολύ λιγότερο αποτελεσματικό.
.webp.jpeg)
Οι ομάδες ασφαλείας και οι διαχειριστές συστήματος θα πρέπει να λάβουν τα ακόλουθα βήματα ως απάντηση σε αυτήν την απειλή. Οποιοδήποτε σύστημα εμφανίζει δείκτες που συνδέονται με το CrySome RAT θα πρέπει να απομονωθεί αμέσως για να σταματήσει η πλευρική κίνηση.
Εργαλεία ανίχνευσης και απόκρισης τελικού σημείου που μπορούν να εντοπίσουν την ένεση διεργασίας, τις αλλαγές μητρώου και την κατάχρηση υπηρεσιών θα πρέπει να αναπτύσσονται σε όλα τα περιβάλλοντα.
Οι προγραμματισμένες εργασίες, οι υπηρεσίες Windows και τα κλειδιά μητρώου Run/RunOnce θα πρέπει να ελέγχονται τακτικά για καταχωρίσεις που δεν ήταν εξουσιοδοτημένες. Ο τομέας κρυσταλλικός[.]net και οποιαδήποτε σχετική υποδομή θα πρέπει να αποκλειστεί σε επίπεδο δικτύου.
Η προστασία από παραβίαση θα πρέπει να είναι ενεργοποιημένη για να αποτρέπεται η απενεργοποίηση εργαλείων ασφαλείας από σενάρια ή αλλαγές πολιτικής.
Τα διαμερίσματα ανάκτησης και οι κυψέλες μητρώου εκτός σύνδεσης απαιτούν βαθιά ιατροδικαστική εξέταση κατά τη διάρκεια οποιασδήποτε προσπάθειας αποκατάστασης για να επιβεβαιωθεί ότι δεν υπάρχει κρυφή επιμονή.
Οι πολιτικές ελέγχου εφαρμογών θα πρέπει να επιβάλλονται για να εμποδίζουν την εκτέλεση άγνωστων ή ανυπόγραφων δυαδικών αρχείων, ειδικά από φακέλους που μπορούν να εγγραφούν από το χρήστη. Τέλος, αντίγραφα ασφαλείας εκτός σύνδεσης και επαληθευμένες εικόνες συστήματος θα πρέπει να διατηρούνται για να υποστηρίζεται η πλήρης ανάκτηση όταν χρειάζεται.
