VenomRAT_HVNC: как обнаружить и защититься от «трояна»

Дата: 03.12.2021. Автор: UserGate. Категории: Новости по информационной безопасности, Отчеты и исследования по информационной безопасности
VenomRAT_HVNC: как обнаружить и защититься от «трояна»

Центр мониторинга и реагирования UserGate подготовил исследование, в котором описывает принцип действия троянской программы VenomRAT_HVNC и даёт рекомендации о том, как обнаружить факт компрометации в вашей организации.

Доставка троянской программы осуществляется с использованием целевых фишинговых писем от доверенных источников. Пользователь получает письмо, вложение в формате ZIP. Архив имеет два файла: досудебное требование.xll. и Претензия.xll.

Файлы собраны для поддержки разной архитектуры операционной системы. После запуска файла MS Excel запрашивает разрешение на добавление модуля.

VenomRAT_HVNC: как обнаружить и защититься от «трояна»

Через механизм ExcelDDA выполняется загрузка файла. Скачанный файл excle.exe запускается и загружает вредоносное троянское ПО.

Файл QWIN.exe — файл-дроппер, который выполняет процедуру добавления себя в автозапуск:

VenomRAT_HVNC: как обнаружить и защититься от «трояна»

Если пользователь имеет права Администратора, то в планировщике задач создаётся задача с именем exel. Если прав Администратора нет, то происходит добавление ключа в реестр для автозапуска.

Троянец имеет следующие настройки:

VenomRAT_HVNC: как обнаружить и защититься от «трояна»

После анализа исходного кода удалось обнаружить проект «https://github.com/qwqdanchun/DcRat», взятый за основу при разработке. Злоумышленники написали только собственный загрузчик троянца. Консоль оператора имеет вид:

VenomRAT_HVNC: как обнаружить и защититься от «трояна»

В коде загрузчика найдены пути проекта:

VenomRAT_HVNC: как обнаружить и защититься от «трояна»

Цепочка заражения имеет следующий вид:

VenomRAT_HVNC: как обнаружить и защититься от «трояна»

Чтобы установить факт компрометации требуется в «Журнале трафика» выполнить запрос: ipDest=»111.90.143.12″:

VenomRAT_HVNC: как обнаружить и защититься от «трояна»


Проверить легитимность обращения на cdn.discordrapp.com, потому что загрузчика частей троянца осуществляется с этого ресурса.

VenomRAT_HVNC: как обнаружить и защититься от «трояна»
VenomRAT_HVNC: как обнаружить и защититься от «трояна»
UserGate

Об авторе UserGate

Компания UserGate (ООО "Юзергейт") разрабатывает технологии, обеспечивающие безопасность доступа в интернет, гибкое управление пользователями, улучшение качества интернет-доступа. Решения компании используются в более, чем 50 тысячах организаций в России и зарубежных странах, в тысячах образовательных учреждений, в провайдерских сетях и на домашних компьютерах. Продукты UserGate обеспечивают защиту от интернет-угроз, фильтрацию опасного, незаконного и нежелательного контента, защищая тем самым пользователей от разнообразных рисков, связанных с использованием интернета.
Читать все записи автора UserGate

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *