سواستفاده یک RAT با نام DarkWatchman از رجیستری ویندوز

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir darkwatchman rat uses registry to evade detection 1
بنابر گزارش‌ها، یک RAT جدید به نام DarkWatchman از تکنیک‌های زیرکانه بدون فایل در یک کمپین spear-phishing استفاده می‌کند. این بدافزار که به زبان روسی نوشته شده است، از روش‌های فرار استفاده می‌کند تا از شناسایی، تجزیه و تحلیل جلوگیری کند.

جزییات بیشتر از RAT
به گفته محققان، این بدافزار از یک الگوریتم تولید دامنه انعطاف‌پذیر (DGA) برای شناسایی زیرساخت C2 خود استفاده می‌کند و از رجیستری ویندوز برای ذخیره عملیات خود که موتور‌های ضد بدافزاری ویندوز را دور می‌زند، استفاده می‌کند.

یکی از قربانیان این RAT یک سازمان ناشناس در روسیه است. علاوه بر این، چندین بدافزار ساخته شده نیز در تاریخ ۱۲ نوامبر در VirusTotal آپلود شده‌اند.

این RAT از روش‌های جدیدی برای فعالیت در سیستم، ماندگاری بدون فایل و قابلیت‌های دینامیک زمان اجرا مانند بروزرسانی خودکار و کامپایل مجدد استفاده می‌کند.

تقریباً برای تمام حافظه‌های دائمی و موقت از رجیستری استفاده می‌کند و هرگز اثری از خود بر روی هارد باقی نمی‌گذارد.. این توانایی، به آن اجازه می‌دهد تا بدون شناسایی توسط اکثر ابزار‌های امنیتی به فعالیت خود ادامه دهد.

اساساً RAT می‌تواند یک ابزار شناسایی و دسترسی اولیه برای استفاده توسط گروه‌های باج‌افزار باشد.

مسیر آلودگی
بدافزار DarkWatchman با استفاده از‌ ایمیل‌های فیشینگ با نوتیفیکیشن انقضای فضای ذخیره‌سازی رایگان برای محموله‌ای که تحت نام شرکت حمل‌ونقل روسی Pony Express ارسال می‌گردد، پخش می‌شود.

ایمیل‌ها همراه با یک فاکتور در قالب یک فایل ZIP همراه با یک payload بارگذاری می‌شوند تا سیستم‌های ویندوز را آلوده کنند.

این RAT، هم یک کی‌لاگر مبتنی بر سی شارپ و جاوا اسکریپت بدون فایل بوده و هم بسیار سبک است. RAT مذکور می‌تواند فایل‌های DLL را بارگیری کند، باینری‌های دلخواه را اجرا کند و دستورات PowerShell و کد جاوا اسکریپت را به همراه سایر اقدامات اجرا نماید.

روتین جاوا اسکریپت با ایجاد یک عملکرد زمان‌بندی‌شده که تروجان را در هر ورود کاربر اجرا می‌کند، امکان ماندگاری را بر روی سیستم را برای خود فراهم می‌کند.

کلام پایانی
بدافزار پیچیده‌ای مانند DarkWatchman در سیستم‌های آلوده‌ای که قرار دارد، می‌تواند از ابزار‌های امنیتی پیشرفته عبور کرده و چالش بزرگ‌تری برای سازمان‌ها ایجاد کند. بنابراین، همگام با توسعه اخیر تهدیدات با استفاده از بروزرسانی تجهیزات مقابله با تهدیدات و ابزار‌های خودکار، سازمان‌ها می‌توانند خود را از این مشکل بزرگ، مصون داشته و حفظ کنند.

برچسب ها: Windows Registry, Pony Express, نوتیفیکیشن, DGA, DarkWatchman, spear-phishing, ZIP, Payload, DLL, Virustotal, جاوا اسکریپت, Remote Access Trojan, PowerShell, cybersecurity, RAT, phishing, malware, تروجان, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ