Бекдор RAT та методи ухилення від завантажувача

У сфері загроз кібербезпеці доводиться стикатися з таким шкідливим програмним забезпеченням, як RAT (троян віддаленого доступу). Крім запуску атак із віддалених місць існує ще загроза "чорного ходу". Використовуються такі техніки, як обфускація, використання доброякісних файлів, шифрування та віддалене виконання.

Одним із нових бекдорів RATS, виявлених Microsoft, є AsyncRAT. Ця шкідлива програма не має псевдонімів і схожа на RevengeRAT, також відому як Revenge.

RevengeRAT є шкідливою програмою і відомий тим, що атакує та заражає пристрої через шкідливу рекламу на зламаних веб-сайтах та шкідливі вкладення в електронній пошті. Шкідлива програма відправляється у вигляді сценарію Visual Basic з файлами .rar або .zip, або .doc через атаки фішингу. Зловмисники використовують електронні листи або посилання із вбудованими зображеннями, які перенаправляють користувачів на сайти хмарного хостингу, такі як OneDrive, iCloud Drive та Google Drive, де і знаходиться зловмисне програмне забезпечення.

Як із цим боротися?

Антивірусне програмне забезпечення Microsoft Defender автоматично усуває цю загрозу, як тільки її виявляє. Якщо користувач має хмарні рішення щодо кібербезпеки, він може бути впевнений, що його пристрій оснащений новітніми засобами захисту від невідомих та нових шкідливих програм. Якщо у користувача немає такого рішення, необхідно оновити антивірусне програмне забезпечення та виконати повне сканування, щоб унеможливити будь-яку загрозу.

Якщо загрозу виявлено, можна вжити кілька профілактичних заходів, щоб зменшити її вплив:

• Якщо пристрій постраждав, його слід негайно ізолювати, оскільки велика ймовірність того, що в систему був запущений шкідливий код, і пристрій знаходиться під контролем зловмисника.
• Облікові записи, що використовуються на ураженому пристрої, також скомпрометовані. Можна або деактивувати ці облікові записи, або скинути паролі.
• Необхідно провести ретельне дослідження заражених кінцевих точок, щоб зрозуміти, як на них потрапила шкідлива програма. Також необхідно перевірити електронну пошту та веб-трафік.
• Вивчення тимчасової шкали пристрою дасть вказівки на дії з латерального переміщення, використані на одному зі скомпрометованих облікових записів.
• Необхідно перевірити наявність інструментів, розміщених усередині пристрою. Ці інструменти дозволяють отримати доступ до облікових даних або здійснити латеральне переміщення або інший тип атаки.

Технічна інформація та поведінка загрози

Шкідливу програму RevengeRat використовують кілька операторів. Поведінка та коди, а також TTP (tactics, techniques, procedures) сімейства шкідливих програм схожі з іншими загальнодоступними RAT, такими як AsyncRAT, LimeRAT, Netwire, QuasarRAT, Cybergate, ClipBanker, Vjw0rm, WSHRat та багатьма іншими неназваними.

Процес атаки

У той час, коли користувач завантажує скрипт Visual basic, запускається процес wscript.exe, потім запускається скрипт PowerShell, який підключається до сайту під назвою Pastebin. На другому етапі завантажується скрипт, відомий як SysTray.PS. Відомо, що цей сценарій створює додатковий процес, який забезпечує персеверацію, збирає цільові дані, а потім підключається до сервера командного управління зловмисника. Ексфільтровані дані від пристрою жертви передаються на віддалений сервер зловмисника.

Як запобігти зараженню пристрою шкідливим ПЗ?

Поради для кінцевих користувачів

• Необхідно підтримувати популярні програми, такі як веб-браузери, Microsoft Office, Adobe Flash Player та Java у актуальному стані, щоб усунути уразливості. Останні версії Windows дозволяють автоматично оновлювати програмне забезпечення.
• Уникайте підозрілих електронних листів та інших засобів обміну повідомленнями. Посилання та вкладення містять шкідливі програми, і якщо на них натиснути, вони проникають у систему. Наприклад, Microsoft Office 365 має вбудований захист від посилань, фільтрацію спаму та захист від шкідливих програм.

Слідкуйте за шкідливими веб-сайтами та уникайте їх відвідування, оскільки сайти можуть вразити один пристрій. Перевірити, чи є сайт шкідливим чи ні, можна перевірити доменне ім'я, яке представляє компанію. Якщо в ньому є помилки, слід насторожитися. Багато шкідливих сайтів підміняють оригінальне ім'я сайту буквою O з нулем (0) або L з l з 1 (один).

• Якщо справжнє ім'я сайту Article.com написане як Artic1e.com, сайт викликає підозру і її слід уникати.
• Сайти, які спливають агресивно та постійно обманюють користувачів, змушуючи їх клацати та ставати жертвами атаки.
• Уникайте використання піратського контенту, оскільки це не тільки незаконно, а й може призвести до зараження шкідливим ПЗ.
• Завантаження будь-якої музики, програм або фільмів повинно здійснюватися через офіційні веб-сайти та магазини програм.
• Не підключайте флеш-накопичувачі або знімні диски з невідомих джерел до свого пристрою. Шкідливі програми проникають на пристрій із цих накопичувачів.
• Використовуйте обліковий запис без адміністратора. У разі запуску шкідливого ПЗ у систему, воно працюватиме під тими самими привілеями, що й активний користувач. Якщо це адміністратор, то привілеї будуть необмеженими та дадуть шкідливій програмі вільний хід. Інакше привілеї обмежуються, і збитки стримуються.

Поради для ІТ-адміністраторів організацій

Важливо мати нову операційну систему та прикладне програмне забезпечення. Рекомендується не використовувати попередні версії, ніж Windows 10. Увімкнення автоматичного оновлення допомагає встановлювати останні виправлення безпеки відразу після їх появи.

Тримати

• захист кінцевих точок від шкідливого програмного забезпечення для виявлення будь-яких уразливостей
• Увімкнення хмарного захисту від шкідливого програмного забезпечення дозволяє автоматично передавати зразки антивірусу-захиснику. Ці програми використовують ІІ та ML для швидкого виявлення та зупинення невідомих та нових загроз.
• Включення правил скорочення поверхні атаки та блокування загрози шляхом припинення пов'язаних із нею дій. Ці правила, розгорнуті як аудиту, враховують безперервне сканування.
• Адміністратори повинні проводити навчальні програми, щоб ознайомити кінцевих користувачів з правилами гігієни облікових даних для запобігання зараженню шкідливим програмним забезпеченням на їх пристроях.
• Налаштування правил найменших привілеїв та обмеження привілеїв локального адміністратора. Це запобігає установці RATS на пристрої.
• Заохочуйте веб-браузери, які визначають та блокують шкідливі веб-сайти, включаючи шахрайські сайти, фішингові сайти та сайти, які використовують та розміщують зловмисне програмне забезпечення.
• Оновлення програмних програм доставляються за допомогою SSL-з'єднань.

Ефективне антивірусне програмне забезпечення подає сигнал тривоги, якщо виявляє загрозу на пристрої. Загроза видаляється відразу після виявлення. Шкідливе програмне забезпечення міститься в карантин.