Обнаружение GhostRAT: Вредоносная программа нового поколения

Изображение: www.sonicwall.com
Исследовательская группа SonicWall Capture Labs по изучению угроз недавно представила результаты исследования высокоинфекционной вредоносной программы GhostRAT. Эта программа известна своей стойкостью к обнаружению и разнообразными методами защиты, которые делают её особенно опасной для кибербезопасности.
Особенности GhostRAT
GhostRAT использует множество методов для обхода средств анализа и обнаружения, включая:
- Антианализ и защиту от аудио- и видеозаписей.
- Способы уклонения от виртуальных машин и отладчиков.
- Очистку системы от данных при заражении.
При заражении системы эта вредоносная программа способна:
- Перехватывать все точки ввода для записи.
- Загружать себя и удалённые модули в память.
- Создавать сценарии PowerShell и скрытые файлы .lnk.
Анализ и методы обнаружения
Размер выборки GhostRAT превышает средний и включает несколько функций защиты от анализа и отладки. У контейнера обнаруживается падение в размере до 184 КБ при запуске через программу разблокировки, однако при этом возникают новые ошибки.
В процессе анализа вредоносная программа выполняет различные проверки системы, такие как:
- Запрос версий аппаратного и программного обеспечения.
- Оценка локали, установленных языков и системного времени.
- Поиск виртуализированных сред, таких как Xen или Qemu.
Кроме того, GhostRAT обнаруживает точки останова программного обеспечения и другие параметры, которые могут сигнализировать о наличии отладчика.
Способы скрытности и действия
Вредоносная программа использует несколько методов, чтобы скрыть своё присутствие и продвигаться в заражённой системе:
- Заражение подключённых дисков через системные диски.
- Внедрение процессов для сокрытия своего действия.
- Запись нажатий клавиш, перемещения мыши и создание скриншотов.
Помимо этого, GhostRAT нацеливается на антивирусные продукты и пытается отключить их. Важно отметить, что собранные данные кодируются с использованием XOR и RC4, а затем отправляются на выделенные серверы управления (C2).
Рекомендации по безопасности
В ответ на угрозу, представленную GhostRAT, SonicWall выпустил специальные сигнатуры для обнаружения и предотвращения заражения этой вредоносной программой. Эти меры направлены на:
- Усиление защиты клиентов.
- Предотвращение вредоносных действий со стороны GhostRAT.
Таким образом, GhostRAT представляет собой сложную и многоуровневую угрозу кибербезопасности, требующую повышенного внимания со стороны держателей данных и специалистов по защите информации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



