Asyncrat’ın genişleyen ekosisteminin kapsamlı bir analizi, orijinal uzaktan erişim Truva atı yeteneklerinin çok ötesinde gelişen bir labirent kötü amaçlı yazılım varyant ağını ortaya çıkarır.
İlk olarak 2019’da GitHub’da yayınlanan Asyncrat’ın açık kaynaklı doğası, dünya çapında siber güvenlik için önemli tehditler oluşturan gelişmiş kaçırma tekniklerini, yeni eklentileri ve özel saldırı vektörlerini içeren çok sayıda sofistike çatal doğurdu.
Key Takeaways
1. AsyncRAT's open-source nature spawned numerous forks, with DcRat and VenomRAT dominating malware campaigns through enhanced modularity and stealth capabilities.
2. Leading variants use AMSI/ETW patching, MessagePack serialization, and antiprocess systems to evade detection and terminate security tools like Taskmgr.exe.
3. Exotic plugins include Screamer.dll (jump scares), WormUsb.dll (USB malware spreading), and cliper.dll (cryptocurrency wallet hijacking).
4. Open-source accessibility lowers cybercrime barriers, requiring proactive behavioral analysis to counter rapidly evolving threat variants.
DCRAT ve Venomrat’ın Gelişmiş Tehditleri
ESET araştırmacıları, DCRAT ve Venomrat’ı en yaygın asyncrat türevleri olarak tanımladılar ve vahşi doğada gözlemlenen kötü amaçlı yazılım kampanyalarının çoğunu toplu olarak açıkladılar.
DCRAT, kötü niyetli davranışları tespit eden ve kaydeden güvenlik özelliklerini devre dışı bırakarak çalışan AMSI ve ETW Patching dahil olmak üzere ileri kaçaklama tekniklerini uygulayarak orijinal Asyncrat çerçevesinden önemli bir evrimi temsil eder.
Varyant, verimli ikili veri serileştirme için mesaj defağı kullanır ve TaskMgr.exe, ProcessHacker.exe ve msmpeng.exe gibi güvenlik araçlarını sonlandıran bir antiprocess sistemi içerir.
Muhtemelen DCRAT’tan esinlenen Venomrat, araştırmacıların neredeyse tamamen ayrı bir tehdit olduğunu düşündükleri geniş özelliklerle doludur.
Kötü amaçlı yazılım varyantları, sürüm alanının tipik olarak çatalın adının veya kötü amaçlı yazılım yazarının takma adının anlamlı açıklamalarını içerdiği yapılandırma analizi ile tanımlanabilir.
Alternatif tanımlama yöntemleri, AES-256 şifrelemesi için kullanılan tuz değerlerinin incelenmesini ve komut ve kontrol sunucularını doğrulayan gömülü sertifikaların analiz edilmesini içerir.
Yeni saldırı özelliklerine sahip özel eklentiler
NOUCLID RAT gibi daha az bilinen çatallar, Asyncrat’ın işlevselliğini geleneksel uzaktan erişim özelliklerinin ötesine genişleten özel eklentiler getirmiştir.
Screamer.dll eklentisi, beş yerleşik görüntü ve WAV dosya desteğine sahip bir atlama korkusu aracı olarak hizmet ederken, piyano.dll, dosyaları %appdata %\ pianoda saklayan genel bir ses çalar olarak işlev görür.
Daha da önemlisi, kişisel klasörler ve harici sürücüler de dahil olmak üzere birden fazla konumda keyfi yüklerle PE dosyalarını tehlikeye atan Wormusb.dll eklentisidir.
Cliper.dll eklentisi, pano içeriğini izleyen ve algılanan cüzdan adreslerini saldırgan kontrollü alternatiflerle değiştiren sofistike bir kripto para hırsızlığı mekanizmasını temsil eder.
Jasonrat, “Şeytani” terimleri anımsatan belirsiz değişken adlandırma kuralları kullanır ve String Gizlasyonu için genişletilmiş Morse kodu kullanırken, Xiebrorat Çin lokalizasyonuna sahiptir ve Mimikatz ve Sharpwifigrabber gibi araçları entegre eder.
Asyncrat çatallarının yayılması, açık kaynaklı kötü amaçlı yazılım çerçevelerinin doğal risklerini vurgular, bu da hevesli siber suçlular için giriş engelini önemli ölçüde azaltır.
Genişleyen tehdit peyzajı, daha gelişmiş gizleme, modülerlik ve kaçırma yeteneklerini içerebilecek ortaya çıkan varyantları etkili bir şekilde ele almak için proaktif algılama stratejileri ve daha derin davranışsal analiz gerektirir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi