Klingon RAT

Der Trend, dass Malware-Autoren für ihre Kreationen auf die Open-Source-Programmiersprache Golang zurückgreifen, scheint immer stärker zu werden. Infolgedessen war die Zahl der in Golang geschriebenen Malware noch nie so hoch. Auch der Grad an Raffinesse, den die Bedrohungen zeigen, ist signifikant gestiegen. Ein solcher bedrohlicher Remote-Access-Trojaner wurde kürzlich von infosec-Forschern entdeckt, die die Bedrohung Klingon RAT nannten.

Die Klingon RAT erregte die Aufmerksamkeit der Forscher zuerst aufgrund ihres einzigartigsten Codes. Dies ist im Bereich der Cyberbedrohungen eher ungewöhnlich – Malware-Ersteller verwenden oft große Code-Stücke wieder, um die Zeit zu verkürzen, die für die Fertigstellung eines neuen, bedrohlichen Tools benötigt wird. Die Klingon RAT besitzt die üblichen Eigenschaften, die man von einer RAT-Bedrohung erwartet. Darüber hinaus wurde es jedoch mit stark erweiterten Maßnahmen gegen Sicherheitsprodukte, Persistenzmechanismen und Methoden zur Rechteeskalation ausgestattet.

Erste Aktivität

Eine der ersten Maßnahmen der Klingon RAT auf einem kompromittierten System ist der Versuch, über 500 verschiedene Prozesse zu beenden, die mit Anti-Malware-Sicherheitsprodukten verbunden sind. Die Bedrohung überprüft die aktiven Prozesse auf dem System und vergleicht sie mit einer Liste von Zielprozessen. Jeder übereinstimmende Prozess wird dann über den Befehl task kill beendet.

HKEY_LOCAL_MACHINE
Software\Microsoft\Windows NT\CurrentVersion\Accessibility

HKEY_CURRENT_USER
Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe

Um seine anhaltende Präsenz auf den angegriffenen Computern sicherzustellen, initiiert die Klingon RAT mehrere verschiedene Persistenzschemata. Die Bedrohung erstellt zwei Registrierungs-Ausführungsschlüssel – einen unter Aktueller Benutzer und einen unter Lokaler Computer. Die Klingon RAT kann auch die Binärdatei für den Microsoft Screen Magnifier - magnify.exe - entführen und sie zwingen, die Malware selbst auszuführen. Dies wird über die Image File Execution Options (Ausführungsoptionen für Image-Dateien) erreicht, die es ermöglichen, jede ausführbare Datei zu markieren und als "Debugger"-Tool zu verwenden. Damit diese Technik funktioniert, stellt die Malware sicher, dass die folgenden beiden Registrierungsschlüssel auf dem System vorhanden sind:

Die Klingon RAT verwendet auch 'WMIC', um ein Ereignisabonnement zu generieren, das als Persistenzmechanismus fungiert, der die beschädigte Nutzlast innerhalb von 60 Sekunden nach jedem Windows-Start startet. Eine andere Technik ermöglicht es der Malware, den 'WinLogon'-Schlüssel zu ändern und zu zwingen, die RAT während des Windows-Starts auszuführen.

Schließlich generiert die Klingon RAT eine geplante Aufgabe mit dem Namen 'OneDriveUpdate', die auch ihre Persistenz auf dem System aufrechterhalten kann. Für die zu konfigurierende Aufgabe legt die Bedrohung zunächst eine XML-Datei namens 'elevtor.xml' in APPDATA ab.

Ausweitung seiner Privilegien

Abgesehen von seinen umfangreichen Persistenztechniken ist die Klingon RAT auch mit ebenso umfangreichen Möglichkeiten ausgestattet, ihre Privilegien auf dem angegriffenen System auszuweiten. Die Bedrohung stellt zunächst fest, ob sie nicht bereits über Administratorrechte verfügt, indem sie zwei Prüfungen durchführt. Die Klingon RAT versucht, '\\\\.\\PHYSICALDRIVE0;' zu öffnen. Wenn dies nicht gelingt, wird versucht, '\\\\.\\SCSI0.' zu öffnen. Wenn keine der Prüfungen erfolgreich ist, aktiviert die Bedrohung ihre Berechtigungs-Eskalationsroutinen.

Die Klingon RAT nutzt einen bestimmten Registrierungsschlüssel und führt ein Programm namens computerdefaults.exe aus, um den Vorgang abzuschließen. Ein weiterer Exploit ähnlich dem vorherigen betrifft das Programm 'Features on Demand Helper' (Fodhelper.exe). Es handelt sich um eine Binärdatei, deren 'autoelevate'-Einstellung auf true gesetzt ist. Auch der geplante Task 'SilentCleanup' könnte ausgenutzt werden. Die Bedrohungsakteure missbrauchen die Tatsache, dass es mit den höchstmöglichen Privilegien läuft und gleichzeitig die Fähigkeit zur Initiierung durch unprivilegierte Benutzer erhalten bleibt. Die Forscher von Infosec fanden im Code von Klingor RAT noch eine weitere Technik – die UAC-Umgehung der Ereignisanzeige. Diese Funktionalität scheint jedoch in den aktuellen Beispielen der Bedrohung falsch implementiert zu sein.

Die klingonische RAT ist nur das neueste Golang-Produkt, das von Malware-Erstellern veröffentlicht wurde. Es verstärkt die Tendenz, dass Cyberkriminelle zu dieser Programmiersprache wechseln, wenn es um ihr bedrohliches Toolkit geht. Einzelne Benutzer und Organisationen sollten in ihrer Cybersicherheitsstrategie geeignete Maßnahmen ergreifen, um dieser neuen Bedrohungswelle Rechnung zu tragen.

Im Trend

Am häufigsten gesehen

Wird geladen...