Что такое ратник в компьютере

Статья Тренировочная мишень. Сравниваем ратники с NjRat

Введение
Давай начнем все с того, что не так давно большинство вирусов стали выкладывать в открытый доступ. Некоторые ратники можно спокойно скачать с GitHub репозиториев и использовать в своих целях. Сейчас аббревиатура RAT переводится как утилита удаленного доступа. Обычно с такой расшифровкой можно встретить очередные исходники зловреда. Но есть и темная сторона перевода, а именно троян удаленного доступа, где главное слово это "троян". В этой статье я предлагаю разобраться с тем, чем все таки отличается вирус от утилиты удаленного администрирования.

1. AsyncRAT (v0.5.7B)
2. Proton RAT (v1.0.0.6)
3. Quasar (v1.4.0)
4. Venom (v2.1.0.0)

1. Многофункциональность: под этим словом подразумевается наличие тех или иных полезных функций. Снимок экрана, встроенный кейлогер и многое другое.
2. Скрытность: пропустить такой параметр крайне невозможно. Как же тестировать вирус без антивирусов? Дадим им на растерзание наши творения и посмотрим, что они скажут. По стандарту пользуемся

Лидер шоу NjRat

• Страница автора: GitHub

Многофункциональность: здесь много слов не надо. Половина функций заблокирована, а остальная часть приравнивается к типичному арсеналу ратника. В наличие имеется антипроцессор, запись в меню автозапуска, детект определенных процессов (к примеру антивируса). Как всегда можно увидеть любимый timesleep, чтобы не вызывать много лишнего внимания. Копирования во временные директории, создание записей в реестре и жестком диске можно приравнивать к стандартным функциям. Ну а сбор документов, cookies, истории и кэша недоступно для использования.

Скрытность: слова здесь подобрать тяжело, зато эмоций очень много. И не только у меня, антивирусы радуются еще сильнее при загрузке зловреда на

. Bladabindi во весь голос кричат 58 антивирусов. Таким синонимом заменяют название NjRat. Как ты понимаешь результаты не утешительные.

Объем исполняемых файлов: в готовом объеме без использования дополнительного обвеса и функций файл весит ровно 96 КБ. Достаточно хороший результат и в системе он не займет много места. Поэтому в этом параметре вирусу удается забрать еще один плюс.

Нагрузка на систему: крайне больше беды в этом, если быть точнее малварь нагружает центральный процессор минимум на 18,6% и максимум на 20,1%. Отъедает от памяти 1 МБ и больше ничего не нагружает. Беспрерывное гудение ноутбука гарантированно.

Встроенная защита: здесь я не нашел ничего похожего на мьютексы, но сам вирус имеет дополнительно функции антипроцесс. Ее основная цель заключается в маскировке файла под другие процессы. В стандарте зловред создает процесс в диспетчере задач с названием Windows Update. Где-то ты это слышал, не правда ли? Такую часть мы находили при реверсе нашей малвари. Теперь ты знаешь с чем связанно это название.

Разное: дизайн такого вируса заслуживает особого внимания. При подключении выдается сбитая русификация и серый квадратик в котором должен быть флаг страны. Текст местами написан безграмотно, встречаются ошибки, а главное не всегда поймешь зачем нужна функция. Большие кнопки, непонятный текст и весьма забавное сокращение (особенно слово Camera сокращенное до Cam) делают NjRat по своему особенным.

Итак, тактическая мишень установлена, а значит можно приступать к ее тестированию. Посмотрим насколько хорошо выдержит такое испытания наш вирус.

• Страница автора: Github

Многофункциональность: ничего нового или особенного здесь нету. По сути билдер имеет функцию создания клиента, превращение в критический процесс, запись во временные папки и редактирование описание к файлу.

Скрытность: все значительно печальнее чем у ниндзя. Антивирусы бьют тревогу и говорят, что файл потенциально опасен и лишь 20 счастливчиков из 72 не нашли ничего подозрительного. Остальные 52 очень сильно злятся и заполоняют весь сайт красными строками с названием билдера. Взглянуть на результаты ты можешь

Объем исполняемых файлов: сами зловреды по размерам очень маленькие и на диске занимают каких-то 48 КБ. Для такой малвари это очень хороший результат и в этом аспекте она берет преимущество перед NjRat.

Нагрузка на систему: не трогает центральный процессор, но забирает себе память. При активном подключении берет 8 МБ, а если коннект не произошел забирает себе 6,1 МБ. Достаточно неплохой результат.

Встроенная защита: дополнительно имеет простой обфускатор кода и мьютекс. В результате чего это позволяет защитить исходный код и информацию о создатели.

Разное: интерфейс билдера самый стандартный, без каких-либо особенностей. Есть вкладка логи и таски, которые всегда находятся под рукой. В дополнение к этому на нижней панели отображает сколько процентов занято CPU и RAM. Крайне простая, но удобная функция. Все данные отображаются корректно. Сбоев кодировки или неправильной работы не наблюдается.

В итоге билдер обходит ниндзя по 4 последним пунктам, что становится достаточно хорошим результатом для такого open-source проекта.

• Страница автора: Github

Многофункциональность: такого понятия для этого билдера похоже не существует. Доступен крайне скудный функционал, который включает в себя автозапуск и создание клиента. Есть очень странная функция с названием "Синий экран в терминале". Так и не понял с чем это связанно, возможно просто крашит систему и вызывает синий экран. Остается также гадать куда делись остальные функции. Либо были вырезанные при взломе или же изначально недоступны даже в полной версии.

Скрытность: в этом параметре утилита становится лидером по количеству детектов. Только 50 из 72 антивирусов нашли угрозу в исполняемом файле. Основной идентификатор у большинства голосов это MSILMamut.2116. Никто из участников так и не смог установить при помощи чего был создан файл. Предлагаю оценить это дело как всегда на

Объем исполняемых файлов: толстый, но в рамках приличия. Только так я могу прокомментировать массу файла в 168 КБ. Результат неплохой, но можно сделать лучше. Этот пункт идет минусом в сравнении.

Нагрузка на систему: задевает только столбец памяти с размером в 8,1 МБ и диска с объемом в 0,1 МБ/c. Результат положительный с учетом того, что в диспетчере задач не мозолит глаза дополнение 32 бита и расширение файла.

Встроенная защита: две функции в подарок. Это мьютекс и дебагер. Больше ничего полезного в во вкладке настроек ты не найдешь. Скудно и досадно, ведь теперь перед работой с ним придется накладывать дополнительные слои защиты, а потом молиться, чтобы все запустилось.

Разное: к интерфейсу не придраться, плюсом к этому в управлении машиной есть интересная фича, которая позволяет преобразовывать введенный тобою текст в звук на устройстве жертвы. С такими функциями кто-то точно поймает инфаркт. Не каждый день увидишь разговаривающую с тобой технику.

Обойти нашего лидера шоу так и не получилось. Всего лишь 2 пункта из 5 идут положительно. Хотя с некоторыми доработками мог бы получиться идеальный ратник на постоянной основе.

• Страница автора: Github

Многофункциональность: билдер обладает достаточно хорошим арсеналом и может похвастаться некоторыми удобными функциями. Одна из которых это создание инсталятора, который в свою очередь настраивается и запускается от пользователя и администратора. Во втором случаи юзер может выбрать корневую библиотеку для загрузки. Либо системную папку, либо стандартный Program Files. Также можно настроить отображаемое имя в автозапуске. В дополнении есть директивы для сохранения PE-файла. К этому всему пристыкуем поддержку IPv6 и добавления DNS Updater с известного сайта No-Ip.

Скрытность: здесь наш друг ставит рекорды. В отрицательную сторону конечно же. 58 детектов из 72, пока что это самый большой результат из всех. Посмотрим, что будет дальше ну а оставлять это так просто нельзя. Стоит позаботиться о дополнительной защите. Результаты смотри на

Объем исполняемых файлов: жирный, очень жирный файл. 502 КБ на жестком диске занимает его зловред. Если ставить рекорды, то похоже до конца. Придется оптимизировать все это дело, чтобы нормально перемещать и копировать файл.

Нагрузка на систему: больше всего ест памяти. Забирает себе целых 13,4 МБ. Но не напрягает другие аспекты, поэтому обогнать в этом деле ниндзя ему не удалось. За это стоит поставить плюс.

Встроенная защита: мьютекс как всегда на месте, также имеется автоматический режим. Ну а большего для счастья похоже и не нужно. Хотя это еще достаточно приемлемый результат по сравнению с предыдущими кандидатами. Поэтому не будем нагнетать обстановку по этому поводу.

Разное: самый обычный дизайн для самого обычного ратника. Ничего нового или удивительного в нем я не нашел, поэтому этот пункт останется частично пустым.

Теперь стоит сказать, что ратник отличился своим функционалом и нагрузкой. В других случаях ему не удалось обогнать NjRat, поэтому оставляем два положительных аспекта и идем сравнивать дальше.

Страница автора:

Многофункциональность: сама программа держит на своих плечах огромный арсенал. В него входят как самые стандартные функции так и необычные, совершенно новые на этот момент. Ты можешь после сбора PE-файла сразу же не отходя от главного окна загрузить его на хостинг AnonFile или использовать в дополнения ко всем функциям эксплоиты Excel или Word. Кейлоггеры и стиллеры лишь дополняют всю работу и делают все гораздо удобнее. Билдер также предоставляет возможность повысить привилегии в системе до Ring3. То есть превратить ратник в полноценный Rootkit. Мало где такое встретишь.

Скрытность: что это такое? Ну а если серьезно, то не самый лучший результат, но и не самый худший. 54 антивируса из 72 злятся на исполняемый файл. Этот пункт находится в золотой середине между остальными билдерами. Оценить все это дело можно как обычно в

Объем исполняемых файлов: самый жирный из всех. Откуда берется 535 КБ мне выяснить так и не удалось. В этом пункте Quasar отдает свое почетное место толстяков нашему Venom. По объему он самый большой из всех зловредов.

Нагрузка на систему: также остается в середине и не похоже не собирается отдавать это место. Всего лишь 9,1 МБ в разделе Память и 0,1 МБ/c нагрузка на диск. Хорошие показатели и отличная работа.

Встроенная защита: из этого имеется только мьютекс, поэтому если хочешь, чтобы это детище работало как надо, то придется в любом случаи докачивать несколько программ и покрывать ими исполняемый файл.

Разное: приятный дизайн и быстрая скорость соединения оставляют хорошие впечатления по отношению к этой программе. Она снаряжена всем необходимым и имеет даже свыше тех функций, что ты видел у других ратников. Здесь стоит поставить хороший плюс и перейти к подведению итога.

В минус у нас уходит только объем, все остальное остается в плюсе. Поэтому можно с уверенностью сказать, что Venom обогнал NjRat и взял над ним превосходство. Теперь, когда мы разобрали все программы можно сделать вывод.

Подводим итоги
Итак, по итогам наших сравнений получилось так, что двое билдеров вырвались вперед и одержали победу над NjRat, оставшиеся программы пролетели сравнительные характеристики и забрали всего лишь 2 положительных аспекта. В результате всех этих работ стоит напомнить тебе, что однозначно есть софт значительно лучше и качественнее NjRat и есть утилиты, которые совсем недотягивают до его уровня. Но в случаи с Quasar это дело можно исправить, взяв в руки исходники и любимый Visual Studio. Сюда еще стоит добавить знания C# и можно создавать свои модификации. Сам же ниндзя это достаточно устаревший ратник, у которого еще остался порох в пороховницах, но его не так много, чтобы тягаться с современными программами. Поэтому перед работой всегда проверяй качество и надежность своего софта.

Вирус удалённого управления компьютером. Многофункциональный RAT на компьютер с управлением через Telegram.

На портале GitHub был опубликован исходный код нового трояна для удаленного доступа (RAT), использующего протокол Telegram для хищения информации с инфицированных устройств. RATAttack устанавливает зашифрованный канал между оператором и зараженным устройством с помощью протокола Telegram. Как утверждает разработчик инструмента, основная проблема большинства существующих на сегодняшний день RAT заключается в том, что они не используют шифрование и их операторы вынуждены настраивать переадресацию портов на устройстве жертвы для управления инфицированным компьютером.

Вирусописатель решил исправить это упущение и представил собственный инструмент под названием RATAttack, который устанавливает зашифрованный канал между оператором и жертвой, используя протокол Telegram. Прежде, чем начинать атаку, владелец RATAttack должен создать бот Telegram и встроить его токен (ключ) в конфигурационный файл трояна. Таким образом все инфицированные устройства будут подключаться к каналу бота и атакующий получит возможность отправлять простые команды для управления RATAttack на зараженном компьютере.

Вот список, что может данный ратник, а теперь пойдём дальше

Как установить?

Что необходимо для ратника:Python 3.8(32 bit)+ необходимые модули, бот в телеграме, его ключ и ваш ID . Установив питон,скачав архив, открываем файл RAT через IDLE например

Видим данные строки

в token мы пропишем токен бота, а в adm — ваш ID телеграма.

Но сейчас надо поставить модули.

открываем консоль и прописываем:

pip3 install python-opencv

pip3 install pytelegrambotapi

pip3 install pypiwin32

pip3 install pyaudio

Создаем бота в телеграме у @BotFather, после чего находим API

копируем длинную строчку без кавычек.

вставляем в RAT.py в строку token.

У бота @userinfobot узнаём свой ID. Тоже вставляем в RAT.py в строку adm

После чего,нажимаем Run Module(F5)

Бот прислал нам оповещение

Троян может действовать в качестве кейлоггера, собирать данные об установленной версии ОС Windows, процессоре и т.д., IP-адресе и приблизительном местоположении хоста, отображать сообщения, загружать и выгружать различные файлы, делать скриншоты, исполнять любые файлы на целевом компьютере, делать снимки с web-камеры, копировать, перемещать и удалять файлы, а также запускать процесс самоуничтожения.

По данным ресурса BleepingComputer, разработчик RATAttack не рекламировал троян на каких-либо хакерских форумах и опубликовал код только на GitHub. В настоящее время он уже удален с портала.

Мистический «отказ от ответственности» будет держать плохих ребят подальше

Как и большинство «темных» разработчиков, которые создают RAT с двойным назначением, разработчик назвал свое творение Remote Administration Tool (Инструмент удаленного администрирования). Даже если часть функций, над которыми он в данный момент работает, обычно обнаруживается во вредоносных троянах. Они не являются легальными инструментами удаленного администрирования, такими как Teamviewer и другие.

Разработчик также не забыл исполнить старый номер, и обязательный «отказ от ответственности» в конце описания RATAttack, надеясь избежать последствий, к которым приведут злоумышленники, используя его код, который находится в свободном доступе для слежки за супругами, взлома компаний, или держать диссидентов под наблюдением. Предположительно, этот инструмент должен использоваться только в авторизированных системах. Любое неавторизированное использование данного инструмента без разрешения является нелегальным. Вопрос ПО с двойным назначением, используемым для легальных и преступных целей, недавно обсуждался в новостях.

На гитхабе уже успели сделать форки. Пользователь @mvrozanti даже начал расширение функционала.

Что такое RAT? Всё про шпионские RAT-трояны

RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.

На самом деле шпионская программа RAT это один из наиболее опасных вредоносных программ, который позволяет злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.

Как работает программа RAT?

RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё. с этого момента компьютер жертвы под полным контролем злоумышленника.

Возможности трояна RAT

Популярные RAT-программы

• DarkComet Rat
• CyberGate
• ProRAT
• Turkojan
• Back Orifice
• Cerberus Rat
• Spy-Net

Какая самая лучшая программа RAT?
Лучший троян RAT на сегодня это DarkComet Rat(на хаЦкерском жаргоне просто Камета)

Как происходит заражение RAT-трояном?

Заражение вирусом RAT происходит почти также как другими вредоносными программами через:

• Массовое заражение на варез и торрент сайтах.
• Скрипты(эксплойты) на сайтах, которые без вашего ведома загружают RAT на ваш компьютер.
• Стои отметить что, в большинстве заражение RAT-трояном происходит не от массового а от целенаправленное заражение вашего компьютера друзьями или коллегами.

Кстати не всегда антивирусное по в силах предотвратить заражение, некоторые антивирусы попросту не детектируют вредонос, так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют(что такое крипт и как это делают мы расскажем в другой статье).

Как предотвратить заражение троянской программой RAT?

• Не открывать не знакомые файлы, которые вы получаете по почте.
• Пользоваться безопасными браузерами.
• Качать и устанавливать программы только с сайта разработчика.
• Не допускать физического контакта с компьютером посторонних людей.
• Удалить к чертям антивирус и поставить хороший фаервол и хороший сниффер. Можете конечно оставить антивирус, я понимаю привычка дело такое…, но фаерволом пользоваться вам надо обязательно. Но а если научитесь юзать сниффер, то в моих глазах станете продвинутыми юзверями, без пяти минут специалистами в области компьютерной безопасности ))!

Как понять что у вас троянская программа RAT?

Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:

• Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
• Комп начал тормозить или скорость интернета значительно просела.
• У вас увели пароль от соц. сетей или почты.
• Подозрительный трафик в сниффере.

Как вылечить заражённый трояном компьютер?

Обнаружить троян RAT довольно сложно. Можно скачать бесплатные антивирусы с обновлёнными базами, к примеру отличный на мой взгляд сканер AVZ и просканировать компьютер. На самом деле если вы мало разбираетесь в компьютерах легче не искать иголку в стоге, а предварительно сохранив важные документы отформатировать комп и установить Windows заново.

Кстати устанавливая взломанную Windows вы рискуете заразится вирусом уже на этапе установки. Так как некоторые левые сборки которые раздаются в сети имеют уже вшитые закладки, шпионы, вирусы, скрытые радмины, рмсы и другую красоту. Я знал одного компьютерного мастера который само того не зная устанавливал на машины клиентов левую сборку Windows, знаменитую протрояненную ZverCD.

Похожие статьи

Тренажер для изучения терминала Linux

Как получить список подключенных USB-устройств Kali Linux

Подключение к Wi-Fi в терминале Kali Linux

10 комментариев

Возможности трояна пункт «Прикалываться над чайниками» повеселил ))

да без крипта не прокатит, антивир пропалит сразу.
а крипт денег стоит

крипт бесплатен был, бесплатный есть и бесплатным будет.

хорошая статья но автор забыл написать ещё про рат PI

Я чувствую ,что я и есть тот чайник над которым поприкалывалась эта крыса до такой степени, что сначала я обнаружила , что почта контролируется и отправленные мною письма пришли на тот же адрес но в другом смарте, я переписываюсь вместо моих друзей с одним лишь человеком, который отслеживает все написанное через клавиатуру. Рекомендованную «Mipco» я не смогла установить, написано при скачивании «error. not found», потому что активация сделана через контролируемую почту. В мессенджере фейсбука и по смарту я не могу пазговаривать — слышу липкие комментарии среди беседы и отключение разговоров на самом важном месте. Но пиком апофеоза стала пропажа денег на моих глазах с моего банковского счета.
Заканчивается суббота. Хочу сначала получить справку банка как такое могло произойти. В полицию я уже обратилась. Даже если я защищусь с помощью ваших рекомендаций, как я смогу вернуть деньги и доказать что при попытке их снятия я не получила ничего, а преступник перевел их куда-то ,куда я не знаю. В первоначальной распечате банка значится что дегьги зашли на счет. А после моей попытки их получить отсутствует запись что они вообще поступали. Я ничего не понимаю. В этом же месяце я обнаружила что некий сайт незаконно снимал несколько месяцев деньги моей кредитной картой. Я написала им ,что поскольку не пользовалась их услугами, требую возврата денег,полученных мошенническим путем. После этого пропали деньги с моего счета. Ясно ,что все кредитки нужно закрывать. Но что делать после обращения в полицию с моим смартом?

Все ответы на ваши вопросы будут в отдельной статье.

Знаю таков троян, есть много КРЕАТОРОВ таких троянов — на пример самый простой — Dark Comet.
Сам кстати пользуюсь такими креаторами, но ничего вредоносного не делаю, максимум просто по прикалываться.
И это интересно, ещё есть один креатор — называется LinkNet.
Вроде его один поц сделал, на ютубе видосы есть, написан на delphi.
У него ООООЧЕНЬ большой функционал.
Кому надо просто введите LinkNet — CSG Chanell. (Вроде так канал называется.)
Сама прога платная, вроде. Но в коментах под видео некоторые говорят что есть бесплатная версия проги, не знаю крч.

Удалить ратник проще некуда, нужно зайти в автозагрузку и удалить все неизвестные программы из автозагрузки или все, затем перезагрузить ПК также можно заглянуть в планировщик задач и посмотреть там некие странные задания и удалить их.

У DarkComet есть такая функция: Persistant Process и Persistent Startup. Когда ты попытаешься закрыть процесс, не выйдет. Когда попытаешься удалить из автозагрузки: не выйдет. Даже в безопасном режиме не прокатит! Никак! И что чайник будет делать? А если он хорошо закриптован, то его никак не найти! И антивирус его удалять не будет! И никакая программа не поможет, кроме переустановки Windows.

Без шума и пыли: разбор RAT-троянов на базе Remote Utilities

В ноябре 2020 года вирусная лаборатория «Доктор Веб» зафиксировала рассылку фишинговых писем корпоративным пользователям. Злоумышленники попытались применить классический метод социальной инженерии, чтобы заставить потенциальных жертв открыть вложения. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. При неблагоприятном стечении обстоятельств, компьютеры сотрудников были бы доступны для удаленного управления без каких-либо визуальных признаков работы программы. В статье мы рассмотрим механизмы распространения и заражения используемых RAT-троянов.

Сценарий атаки

Обнаруженные нами образцы можно разделить на 2 группы.

• Самораспаковывающиеся архивы, которые содержали оригинальные исполняемые файлы Remote Utilitites и вредоносный модуль, загружаемый посредством DLL Hijacking. Этот модуль предотвращает отображение окон и иных признаков работы программы, а также оповещает злоумышленника о ее запуске и установке. Детектируется Dr.Web как BackDoor.RMS.180.
• Самораспаковывающиеся архивы, которые содержали оригинальный установочный модуль Remote Utilities и заранее сконфигурированный MSI-пакет, обеспечивающий тихую установку программы для удаленного управления и последующую отправку сообщения о готовности к удалённому подключению на заданный злоумышленником сервер. Детектируется Dr.Web как BackDoor.RMS.181.

Пример письма с вредоносным вложением, использующим DLL Hijacking:

В приложенном архиве находится защищенный RAR-архив и текстовый файл с паролем.

В архиве находится дроппер в виде самораспаковывающегося RAR’а, внутри которого лежит сам BackDoor.RMS.180.

Ниже приведен пример письма с вложением, использующим MSI-пакет.

Помимо архива с вредоносной нагрузкой (BackDoor.RMS.181) и файла с паролем здесь находятся документы-пустышки.

В ходе исследования мы также обнаружили образец фишингового письма, содержащего ссылку на дроппер, который запускает установку утилиты Remote Utilities из настроенного MSI-пакета (детектируется Dr.Web как BackDoor.RMS.187). Здесь задействован несколько иной механизм распространения полезной нагрузки.

«CV_resume.rar» является ссылкой на взломанный сайт, откуда происходит редирект на другой ресурс для загрузки вредоносного архива с BackDoor.RMS.187.

Анализ сетевой инфраструктуры, используемой злоумышленниками для распространения BackDoor.RMS.187, позволил найти еще несколько скомпрометированных сайтов, а также образец трояна Trojan.Gidra. По нашим данным, Trojan.GidraNET.1 использовался для первичного заражения системы при помощи фишингового письма с последующей загрузкой бэкдора, который скрыто устанавливал Remote Utilties.

Подробный разбор алгоритмов работы обнаруженного ПО читайте в вирусной библиотеке на нашем сайте. Ниже мы кратко рассмотрим эти вредоносные программы.

BackDoor.RMS.180

Троян-бэкдор, написанный с использованием компонентов программы Remote Utilities. Основной вредоносный модуль загружается посредством DLL Hijacking.

Самораспаковывающийся архив запускается скриптом:

Состав самораспаковывающегося дроппера:

• libeay32.dll (f54a31a9211f4a7506fdecb5121e79e7cdc1022e), чистый;
• ssleay32.dll (18ee67c1a9e7b9b82e69040f81b61db9155151ab), чистый;
• UniPrint.exe (71262de7339ca2c50477f76fcb208f476711c802), подписан действительной подписью;
• WinPrint.exe (3c8d1dd39b7814fdc0792721050f953290be96f8), подписан действительной подписью;
• winspool.drv (c3e619d796349f2f1efada17c9717cf42d4b77e2) — основной вредоносный модуль, обеспечивающий скрытую работу Remote Utilities.

Функции, отсутствующие в оригинальном модуле winspool.drv и не несущие функциональной нагрузки:

Экспорты с реальными именами содержат переходы к загружаемым в дальнейшем оригинальным функциям из легитимной библиотеки.

Некоторые API-функции выполняются через указатели на функции-переходники:

Функция get_proc ищет необходимую API-функцию разбором таблицы экспорта модуля, затем помещает найденный адрес вместо функции-переходника.
На первом этапе загружает подмененную библиотеку. Имя не зашито жестко, поэтому загружает библиотеку <system_directory>\<module_filename>. Затем проходит свою таблицу экспорта и загружает оригинальные API-функции по ординалам, пропуская недействительные функции:

Затем бэкдор проверяет, в контексте какого исполняемого файла он работает. Для этого проверяет значение IMAGE_NT_HEADERS.OptionalHeader.CheckSum основного исполняемого модуля:

• значение равно 0x2ECF3 — первичный запуск с WinPrint.exe;
• значение равно 0xC9FBD1 — работа в контексте UniPrint.exe.

Когда запущен UniPrint.exe, бэкдор переходит к выполнению основных функций. Проверяет, имеет ли пользователь права доступа администратора. Затем устанавливает права доступа на директорию с модулем:

После этого записывает параметры General и Security в ключ реестра HKCU\SOFTWARE\WDMPrint и подготавливает значение параметра InternetID с помощью форматной строки.

Затем бэкдор создает скрытые окна MDICLIENT и RMSHDNLT:

Далее приступает к перехвату API-функций. Для этого использует библиотеку MinHook.

Подробная таблица с описанием перехватываемых функций находится на странице BackDoor.RMS.180 на нашем сайте.

Сетевая активность бэкдора реализована следующим образом. Вначале по дескриптору окна TEdit с помощью функции GetWindowTextA бэкдор получает InternetID, необходимый для удаленного подключения. Затем формирует GET-запрос вида:

Затем создает TCP-сокет. Проверяет значение глобальной переменной, в которой хранится порт для подключения с использованием протокола SSL (в рассматриваемом образце равен нулю). Если порт не равен нулю, то соединение выполняется по SSL посредством функций библиотеки SSLEAY32.dll. Если порт не задан, бэкдор подключается через порт 80.
Далее отправляет сформированный запрос. Если ответ получен, то ожидает в течение минуты и повторно отправляет запрос с InternetID. Если ответа нет, то повторяет запрос через 2 секунды. Отправка происходит в бесконечном цикле.

BackDoor.RMS.181

Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами удаленного управления, созданный с помощью MSI-конфигуратора из состава Remote Utilities Viewer. Распространялся в составе самораспаковывающегося 7z-дроппера (52c3841141d0fe291d8ae336012efe5766ec5616).

• host6.3_mod.msi (заранее настроенный MSI-пакет);
• installer.exe (5a9d6b1fcdaf4b2818a6eeca4f1c16a5c24dd9cf), подписан действительной цифровой подписью.

После распаковки дроппер запускает файл installer.exe, который, в свою очередь, запускает установку заранее настроенного MSI-пакета. Установщик извлекает и скрыто устанавливает Remote Utilities. После установки отправляет сигнал на управляющий сервер.

MSI-пакет содержит все необходимые параметры для тихой установки Remote Utilities. Установка выполняется в Program Files\Remote Utilities — Host в соответствии с таблицей Directory.

В соответствии с таблицей CustomAction установщик msiexec.exe запускает основной компонент пакета Remote Utilities rutserv.exe с различными параметрами, которые обеспечивают тихую установку, добавление правил сетевого экрана и запуск службы.

Параметры и настройки подключения заносятся в ключ реестра HKLM\Remote Utilities\v4\Server\Parameters. Значения параметров содержатся в таблице Registry:

Параметр CallbackSettings содержит адрес сервера, на который отправляется InternetID для прямого подключения.

BackDoor.RMS.187

Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами для скрытой установки и запуска Remote Utilities. Распространялся в составе вредоносного RAR-архива посредством фишинговой рассылки.

Запускается при помощи дроппера, который хранит установочный архив в секции ресурсов под именем LOG. Дроппер сохраняет MSI-пакет в директорию %TEMP% под именем KB8438172.msi и затем запускает с помощью установщика msiexec.exe. В дроппере находится путь к исходнику — C:\Users\Kelevra\Desktop\Source\Project1.vbp.

Бэкдор сообщает о готовности к подключению, отправляя сообщение на адрес cerbe[@]protonmail[.]com.

Этот образец примечателен способом распространения. На электронную почту жертвы приходит фишинговое письмо со ссылкой, маскирующейся под нужное пользователю вложение.

Ссылка на загрузку вложения ведет по адресу http[:]//ateliemilano[.]ru/stat/amsweb.php?eTmt6lRmkrDeoEeQB6MOVIKq4BTmbNCaI6vj%2FvgYEbHFcfWecHRVZGMpkK%2BMqevriOYlq9CFe6NuQMfKPsSNIax3bNKkCaPPR0RA85HY4Bu%2B%2B6xw2oPITBvntn2dh0QCN9pV5fzq3T%2FnW270rsYkctA%2FwdvWH1bkEt2AdWnyEfaOwsKsSpyY3azVX0D%2BKOm5.

Затем с этого адреса происходит редирект на адрес https[:]//kiat[.]by/recruitment/CV_Ekaterina_A_B_resume.rar, по которому происходит загрузка вредоносного архива.

ateliemilano[.]ru и kiat[.]by — существующие сайты, при этом второй сайт принадлежит кадровому агентству. По нашим сведениям, они неоднократно использовались для загрузки троянов, а также для переадресации запросов на их загрузку.

В ходе исследования были найдены и другие скомпрометированные сайты, которые использовались для распространения аналогичных дропперов с MSI-пакетами. На некоторых из них устанавливались редиректы аналогичного формата, как на сайте ateliemilano[.]ru. С некоторых ресурсов предположительно происходила загрузка троянов, написанных на
Visual Basic .NET (Trojan.GidraNET.1), которые, в числе прочего, загружают вредоносные дропперы на скомпрометированные компьютеры.

Trojan.GidraNET.1

Исследованный образец трояна распространялся через скомпрометированные сайты. Он предназначен для сбора информации о системе с ее последующей передачей злоумышленникам по протоколу FTP, а также для загрузки вредоносного дроппера с MSI-пакетом для установки Remote Utilities.

Основная функциональность находится в методе readConfig, вызываемом из Form1_Load.

В начале своей работы собирает о системе следующую информацию:

• внешний IP-адрес;
• имя пользователя;
• имя ПК;
• версия ОС;
• сведения о материнской плате и процессоре;
• объем оперативной памяти;
• сведения о дисках и разделах;
• сетевые адаптеры и их MAC-адреса;
• содержимое буфера обмена.

Полученную информацию сохраняет в файл, затем делает снимок экрана.

Информацию о системе отправляет по протоколу FTP на сервер ateliemilano[.]ru.

В коде трояна зашиты логин и пароль от FTP-сервера. Для каждого зараженного компьютера создается отдельная директория.

После отправки информации загружает и запускает файл с другого скомпрометированного сервера.

Файлы, скачиваемые аналогичными образцами, представляют собой дропперы, написанные на Visual Basic, содержащие MSI-пакеты для скрытой установки Remote Utilities, такие как BackDoor.RMS.187.

В исследованном образце был найден путь к PDB-файлу: C:\Users\Kelevra\Desktop\Last Gidra + PrintScreen + Loader_ Main\Gidra\obj\Debug\Gidra.pdb. Имя пользователя Kelevra совпадает с именем пользователя в пути к файлу проекта в дроппере BackDoor.RMS.187: C:\Users\Kelevra\Desktop\Source\Project1.vbp. В аналогичных образцах встретились и другие варианты.

По найденной нами информации можно предположить, что в 2019 году автор Trojan.GidraNET.1 использовал этот троян для первичного заражения через фишинговое письмо с последующей загрузкой бэкдора, скрыто устанавливающего Remote Utilties.

Заключение

Бэкдоры на базе утилит для удаленного администрирования остаются актуальной угрозой безопасности и до сих пор применяются для атак на корпоративный сектор. В свою очередь фишинговые письма являются основным средством доставки полезной нагрузки на заражаемые компьютеры. Отличительная черта вредоносных вложений — архивация полезной нагрузки с использованием пароля, что позволяет письму преодолеть встроенные в почтовый сервер средства защиты. Другой особенностью является наличие текстового файла с паролем к поддельному архиву. Кроме того, использование вредоносной библиотеки и атаки DLL Hijacking обеспечивает скрытое функционирование ПО для удаленного управления на скомпрометированном устройстве.