AsyncRat: эволюция трояна удалённого доступа с Rust-модулями

AsyncRat: эволюция удалённого трояна на Rust

AsyncRat — это троян для удалённого доступа (RAT), активно наблюдаемый с 2019 года, основное назначение которого — обеспечить киберпреступникам контроль над заражёнными компьютерами. Этот вредоносный инструмент традиционно распространяется через вредоносные ссылки и фишинговые кампании, что облегчает кражу данных, выполнение произвольных команд и мониторинг активности пользователей.

Архитектура и функции AsyncRat

Благодаря модульной структуре AsyncRat предоставляет широкие возможности настройки, делая его удобным инструментом для различных хакерских групп. Исходно троян был разработан на C#, однако недавно исследователи обнаружили новые варианты, написанные на Rust.

Основные характеристики нового варианта на Rust:

• Сохраняются ключевые параметры конфигурации и протоколы связи с командно-управляющим сервером (CnC).
• Поддерживаются основные команды управления, включая установку плагинов и выполнение кода из них.
• Плагины не хранятся в виде традиционных двоичных файлов, а регистрируются в реестре HKCUSoftwareC2CPlugins и динамически загружаются в память.

Преимущества и особенности разработки на Rust

Rust не является традиционным языком для создания вредоносного ПО, но хакеры всё чаще выбирают его по нескольким причинам:

• Увеличенная сложность обратного проектирования из-за ограниченной поддержки анализа Rust в современных исследованиях безопасности.
• Двоичные файлы на Rust сложнее декодировать по сравнению с классическими языками вроде C++.
• Рост популярности Rust обусловлен его производительностью и безопасностью на уровне памяти.

Несмотря на сохранение функциональных возможностей, вариантов AsyncRat на Rust присущи некоторые отличия:

• Ограниченный набор поддерживаемых команд по сравнению с версией на C#, что указывает на активную разработку и расширение функционала.
• Зависимость от прав администратора влияет на способ постоянного запуска вредоносной программы — через запланированные задачи либо репликацию во временный каталог с запуском через batch-файлы.

Технические детали и активность разработчиков

Коммуникации AsyncRat с серверами CnC защищены протоколом TLS, что усложняет перехват и анализ трафика. В последних образцах вредоносного ПО зафиксировано следующее:

• Жёстко прописанный список из трёх уникальных серверов с ЧПУ (Command-and-Control).
• Жёстко заданные порты подключения для установления последовательных соединений с серверами.
• Сбор и передача на сервер информации о системе жертвы, включая идентификатор оборудования, сведения об OS, установленном антивирусе, статус администратора, версию клиента и производительность.
• Наличие отладочных строк в коде — прямое свидетельство ведения активной разработки и доработки трояна.

Перспективы и риски

Стоит отметить, что несмотря на выявление новых Rust-вариантов AsyncRat, большинство поставщиков систем безопасности пока не классифицировали их как часть семейства AsyncRat. Это создаёт потенциально новый сектор угроз в ландшафте кибербезопасности, требующий повышенного внимания специалистов.

_Использование Rust в вредоносных программах — новый вызов для исследователей безопасности и разработчиков антивирусных решений._ Появление подобных образцов говорит о том, что киберпреступники стремятся усложнить анализ и противодействие своим инструментам, используя современные технологии программирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.