Siber güvenlik araştırmacıları, yeni bir uzaktan erişim truva atına ışık tuttu. Öklid dışı Bu, kötü aktörlerin güvenliği ihlal edilmiş Windows sistemlerini uzaktan kontrol etmesine olanak tanır.
Cyfirma geçen hafta yayınlanan bir teknik analizde, “C# dilinde geliştirilen Euclid olmayan uzaktan erişim truva atı (RAT), gelişmiş kaçınma teknikleriyle yetkisiz uzaktan erişim sunan son derece karmaşık bir kötü amaçlı yazılımdır” dedi.
“Antivirüs bypass, ayrıcalık yükseltme, tespit önleme ve kritik dosyaları hedef alan fidye yazılımı şifrelemesi gibi çeşitli mekanizmalar kullanıyor.”
NonEuclid, en azından Kasım 2024’ün sonlarından bu yana yeraltı forumlarında, Discord ve YouTube gibi popüler platformlarda keşfedilen kötü amaçlı yazılımlarla ilgili eğitimler ve tartışmalarla tanıtılıyor. Bu, kötü amaçlı yazılımın bir suç yazılımı çözümü olarak dağıtılmasına yönelik ortak bir çabaya işaret ediyor.
RAT, özünde bir istemci uygulaması için bir başlatma aşamasıyla başlar ve ardından belirli bir IP ve bağlantı noktasıyla iletişim için bir TCP soketi kurmadan önce tespitten kaçınmak için bir dizi kontrol gerçekleştirir.
Ayrıca, yapıtların güvenlik aracı tarafından işaretlenmesini önlemek için Microsoft Defender Antivirus hariç tutmalarını da yapılandırır ve genellikle analiz ve analiz için kullanılan “taskmgr.exe”, “processhacker.exe” ve “procexp.exe” gibi işlemlere ilişkin sekmeleri tutar. süreç yönetimi.
Cyfirma, “İşlemleri numaralandırmak ve yürütülebilir adlarının belirtilen hedeflerle eşleşip eşleşmediğini kontrol etmek için Windows API çağrılarını (CreateToolhelp32Snapshot, Process32First, Process32Next) kullanıyor” dedi. “AntiProcessMode ayarına bağlı olarak bir eşleşme bulunursa, bu durum ya süreci sonlandırır ya da istemci uygulaması için bir çıkışı tetikler.”
Kötü amaçlı yazılımın benimsediği anti-analiz tekniklerinden bazıları, sanal ortamda mı yoksa korumalı alanda mı çalıştığını belirlemek için yapılan kontrolleri içerir ve öyle olduğu tespit edilirse programı derhal sonlandırın. Ayrıca, Windows Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzünü (AMSI) atlayacak özellikler içerir.
Kalıcılık, zamanlanmış görevler ve Windows Kayıt Defteri değişiklikleri aracılığıyla gerçekleştirilirken, NonEuclid ayrıca Kullanıcı Hesabı Denetimi (UAC) korumalarını atlatarak ve komutları çalıştırarak ayrıcalıkları yükseltmeye çalışır.
Nispeten nadir görülen bir özellik, belirli uzantı türleriyle (örneğin, .CSV, .TXT ve .PHP) eşleşen dosyaları şifreleme ve bunları “.NonEuclid” uzantısıyla yeniden adlandırma ve etkili bir şekilde fidye yazılımına dönüştürme yeteneğidir.
Cyfirma, “Euclid Olmayan RAT, gelişmiş gizlilik mekanizmalarını, tespit edilmeyi önleme özelliklerini ve fidye yazılımı yeteneklerini birleştirerek modern kötü amaçlı yazılımların artan karmaşıklığına örnek teşkil ediyor” dedi.
“Yeraltı forumlarında, Discord sunucularında ve eğitim platformlarında yaygın tanıtımı, siber suçlulara olan ilgisini gösteriyor ve bu tür tehditlerle mücadelede karşılaşılan zorlukları vurguluyor. Ayrıcalık yükseltme, AMSI bypass ve süreç engelleme gibi özelliklerin entegrasyonu, kötü amaçlı yazılımın bu tehditlerden kaçma konusundaki uyarlanabilirliğini gösteriyor Güvenlik tedbirleri.”