Обнаружение GhostRAT: Вредоносная программа нового поколения

Обнаружение GhostRAT: Вредоносная программа нового поколения

Изображение: www.sonicwall.com

Исследовательская группа SonicWall Capture Labs по изучению угроз недавно представила результаты исследования высокоинфекционной вредоносной программы GhostRAT. Эта программа известна своей стойкостью к обнаружению и разнообразными методами защиты, которые делают её особенно опасной для кибербезопасности.

Особенности GhostRAT

GhostRAT использует множество методов для обхода средств анализа и обнаружения, включая:

  • Антианализ и защиту от аудио- и видеозаписей.
  • Способы уклонения от виртуальных машин и отладчиков.
  • Очистку системы от данных при заражении.

При заражении системы эта вредоносная программа способна:

  • Перехватывать все точки ввода для записи.
  • Загружать себя и удалённые модули в память.
  • Создавать сценарии PowerShell и скрытые файлы .lnk.

Анализ и методы обнаружения

Размер выборки GhostRAT превышает средний и включает несколько функций защиты от анализа и отладки. У контейнера обнаруживается падение в размере до 184 КБ при запуске через программу разблокировки, однако при этом возникают новые ошибки.

В процессе анализа вредоносная программа выполняет различные проверки системы, такие как:

  • Запрос версий аппаратного и программного обеспечения.
  • Оценка локали, установленных языков и системного времени.
  • Поиск виртуализированных сред, таких как Xen или Qemu.

Кроме того, GhostRAT обнаруживает точки останова программного обеспечения и другие параметры, которые могут сигнализировать о наличии отладчика.

Способы скрытности и действия

Вредоносная программа использует несколько методов, чтобы скрыть своё присутствие и продвигаться в заражённой системе:

  • Заражение подключённых дисков через системные диски.
  • Внедрение процессов для сокрытия своего действия.
  • Запись нажатий клавиш, перемещения мыши и создание скриншотов.

Помимо этого, GhostRAT нацеливается на антивирусные продукты и пытается отключить их. Важно отметить, что собранные данные кодируются с использованием XOR и RC4, а затем отправляются на выделенные серверы управления (C2).

Рекомендации по безопасности

В ответ на угрозу, представленную GhostRAT, SonicWall выпустил специальные сигнатуры для обнаружения и предотвращения заражения этой вредоносной программой. Эти меры направлены на:

  • Усиление защиты клиентов.
  • Предотвращение вредоносных действий со стороны GhostRAT.

Таким образом, GhostRAT представляет собой сложную и многоуровневую угрозу кибербезопасности, требующую повышенного внимания со стороны держателей данных и специалистов по защите информации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: