KZ
Ru
Іс-шаралар 0
Іздеу нәтижесі:
AsyncRAT экожүйесінің эволюциясы: сертификаттар мен инфрақұрылымды талдау- сурет 1

AsyncRAT экожүйесінің эволюциясы: сертификаттар мен инфрақұрылымды талдау

Ашық бастапқы коды тек заңды бағдарламалық жасақтаманың ғана емес, сонымен қатар кибершабуыл құралдарының да дамуын жеделдетті. AsyncRAT қашықтықтан басқару трояны жарияланғаннан бері шамамен 40 танымал нұсқасы бар кеңейтілген экожүйеге айналды. Censys компаниясының киберқауіпсіздік маманы Айдан Холланд осы құрылымды зерттеп, зиянды кодтың көбеюі мен дамуының ауқымын көрсетті. Қауіпсіздік мамандары үзіліссіз қолтаңба жаңартуларын жасаудың орнына, шабуылдаушылардың архитектуралық осал тұстарын қолдана отырып, қауіп-қатерді тиімді анықтай алады.

AsyncRAT экожүйесінің эволюциясы: сертификаттар мен инфрақұрылымды талдау - сурет 1
КОД ЕВОЛЮЦИЯСЫ

RAT отбасының тармақталуы және кеңеюі

AsyncRAT алғаш рет 2019 жылдың қаңтарында GitHub платформасында NYAN-x-CAT лақап атымен ескі Quasar RAT жобасының кеңейтілген нұсқасы ретінде жарияланған болатын. Осы тамырлы нұсқадан көптеген тармақтар пайда болды. Ең әйгілі мұрагері DCRAT (DarkCrystal RAT) болды, ол өз кезегінде VenomRAT үшін негіз болды. Осы каскадты процесс жаңа нұсқаларды құруға әкелді, соның ішінде LMTeamRAT, EchoRAT, BitRAT және Alfa Red Fox сияқты жүздеген ерекше трояндар бар. Мұндай көп деңгейлі кодтың тармақталуы қауіпсіздік командалары үшін күрделі мәселені құрайды, олар жаңа модификацияларға сәйкес анықтау негіздерін үздіксіз бейімдеуге мәжбүр.

ОСАЛДЫҚ ИНДИКАТОРЛАРЫ

Сертификат үлгілері анықтау белгісі ретінде

Барлық экожүйенің күрделілігіне қарамастан, архитектуралық біртектілік киберқылмыскерлердің әлсіз нүктесіне айналды. Талдау әрбір жаңа троянның нұсқасы өзінен бұрынғы TLS-сертификатының құрылымын айтарлықтай өзгеріссіз мұра ететінін көрсетті. Орталық анықтау белгісі ретінде DCRAT бастаған «O=<Name> By <author>, L=SH, C=CN» өрістерінің комбинациясы болды. Бұл комбинацияны әдеттен тыс порттарда пайдалану нақты зиянды бағдарламаның өз брендингі болмайтын жағдайда да C2 тіршілік ортасын анықтауға мүмкіндік береді. Мамандар сертификат метадеректері ең сенімді анықтау беті болып қала беретінін атап өтеді, өйткені жинақ атаулары немесе бастапқы бағдарламалардың атаулары өзгеріссіз қалады.

БЕЛСЕНДІЛІКТІҢ ТАЛДАУЫ

Инфрақұрылымның жиілік бойынша таралымы

Экожүйенің өрістету ауқымы нақты нұсқаға байланысты өте біркелкі емес болып қалуда. Тексеру нәтижелері бойынша, AsyncRAT-тың негізгі нұсқасы ең үлкен қатысуды сақтай отырып, шамамен 49 расталған хосттарды қамтиды. Оның мұрагері DCRAT шамамен 36 басқару серверлерінде жұмыс істейді, ал DCRAT негізінде жасалған Gh0stRAT 20-дан астам хосттарды пайдаланады. Зерттеуде сондай-ақ сертификаттар өрістерінде «qwqdanchun» немесе «alexeikun» сияқты нақты құрастырушылардың лақап аттары жиі кездесетінін, бұл ауқатты кампанияларды бақылау процесін оңтайландыратынын анықтады.

ЕРЕКШЕ НҰСҚАЛАР

Белсенділігі төмен трояндардың маңызы

Бірегей хостта іске қосылатын немесе тексеру кезінде расталған тірі инфрақұрылымы жоқ тар мақсатты нұсқалар ерекше санат болып табылады. Құрамына LMTeamRAT, ElegyRAT, CyberSpike және JasonRAT кіреді. Бұл жалғыз трояндардың маңызы олардың жалған жасауға болмайтын идентификаторлардың комбинацияларын қамтитын метадеректерінде жатыр. Мысалы, LMTeamRAT сертификаты VenomRAT бастапқы бұтағы мен нақты әзірлеушісіне айқын нұсқау береді. Осы аз белсенді тораптарды бақылау өте маңызды, өйткені олар кәсіпорындарға мақсатты шабуылдарға дайындықты көрсететін индикатор болуы мүмкін.

МОНИТОРИНГТІҢ ОПТИМИЗАЦИЯСЫ

Жалған оң нәтижелер проблемасы

Қауіп-қатерлерді бақылау үшін тек нұсқа атауларын пайдалану айтарлықтай шектеулері бар. ArchosaurRAT немесе ShiningForceRAT сияқты бірегей атаулар таза сұраныстар жасайды, хибалар санының аз болуына әкеледі. Сонымен қатар, жалпы атаулар бойынша іздеу заңды ұйымдармен сындарлы қақтығыстарға алып келеді. Мысалы, PhoenixRAT сұраныстары Phoenix Contact GmbH компаниясының өнеркәсіптік жабдықтарымен қиылысады, ал PegasusRAT нәтижелері NSO Group өнімдерінің ақпараттық шуында жоғалып кетеді. Сондықтан анықтау жүйелеріне атымен сәйкес келгеннен гөрі сертификаттардың тексерілген үлгісі немесе басқару панелінің мазмұны қажет.

AsyncRAT экожүйесінің эволюциясы файлдарды қолтаңба бойынша үздіксіз блоктау әдісінен инфрақұрылымдық үлгілерді бақылау әдісіне көшу қажет екенін көрсетеді. Шабуылдаушылар кодтың жаңа тармақтарын жасай беретін болса да, олар ескірген TLS-сертификаттардың құрылымдарына тәуелділігі қорғаныс командалары үшін қуатты құрал болып қала береді. Бұл метадеректерді талдау C2 орталардың анықталу тиімділігін айтарлықтай арттыра алады.

iIT Distribution ақпараттық қауіпсіздік пен IT-инфрақұрылымын қамтамасыз ету шешімдерінің дистрибьюторы болып табылады. iITD командасы Threat Intelligence озық жүйелерін кеңес беру, жобалау, орналастыру және баптауда жан-жақты қолдау көрсетеді. iIT Distribution-пен серіктестік барлығын қамтитын жоба кезеңдерінде білікті қолдау көрсетеді, командаларды қауіп-қатердің өзгермелі ландшафтына бейімделуге көмектеседі.

Жаңалықтар

Тақырыбыңыз бойынша ағымдағы жаңалықтар

Барлық жаңалықтар
Барлық жаңалықтар