Silver RAT izbjegava antivirusni softver
Silver RAT izbjegava antivirusni softver na Windows operativnim sistemima, pokazuje istraživanje sigurnosne kompanije Cyfirma. Istraživanje ove kompanije pruža uvid u razvojni pejzaž razvoja RAT zlonamjernog softvera i zlonamjernih aktivnosti koje vrše zlonamjerni akteri koji rade pod nazivom “Anonymous Arabic”.
SILVER RAT
Silver RAT je još uvijek relativno nov zlonamjerni softver koji se u verziji 1.0 pojavio tokom novembra 2023. godine koji je namijenjen za napad na Windows operativne sisteme. Silver RAT v1.0 dolazi sa keylogger funkcionalnostima, UAC zaobilaženje, šifrovanje podataka pomoću ransomware zlonamjernog softvera i funkcije za uništavanje tačaka za vraćanje sistema. Postaje najave koje ukazuju da zlonamjerni akteri planiraju da pokrenu novu verziju koja bi imala mogućnost napada na Windows i Android operativne sisteme.
Silver RAT v1.0 je napisan u C# programskom jeziku i ima mogućnosti da zaobiđe antivirusni softver i prikriveno pokrene skrivene aplikacije, pretraživače, keylogger zlonamjerne softvere i druge zlonamjerne aktivnosti. Zlonamjerni akteri koji stoje iza ovog zlonamjernog softvera rade na više hakerskih foruma i platformi društvenih medija, pokazujući aktivno i sofisticirano prisustvo. Tu je Telegram kanala koji nudi niz usluga uključujući distribuciju krekovanih RAT softvera, procurile baze podataka, prodaju botova društvenih medija koji se koriste za promovisanje usluga automatskim angažovanjem i komentarisanjem sadržaja korisnika.
FUNKCIONISANJE
Kao što je već rečeno, Silver RAT v1.0 je napisan u C# programskom jeziku i ima RAT alat za izgradnju zasnovan na Windows operativnim sistemima. Nakon pokretanja graditelja dolazi do zahtjeva za brojem porta na koji će Silver RAT vezati IP adresu i broj porta za obrnuto komandno okruženje (eng. reverse shell).
Pokretanjem alata za izgradnju korisnici dobijaju razne opcije, neke od najznačajnijih su mogućnost zaobilaženja antivirusnog softvera, prikrivanja zlonamjernih procesa dodjeljivanjem prilagođenih imena procesa i specificiranja metoda povezivanja. Korisnik može da bira između podrazumijevanih podešavanja veze tako što će obezbijediti IP za obrnuto povezivanje ili se odlučiti za internet HTML vezu.
U nastavku slijede neke od najzanimljivijih funkcionalnosti Silver RAT v1.0 zlonamjernog softvera:
- Napadač može da koristi ili IP adresu sa određenim portom ili internet stranicu za komandu i kontrolu inficiranog sistema,
- Funkcija Windows defender izuzeća sprečava otkrivanje nakon što je program prvi put pokrenut,
- Funkcija brisanja svih tački vraćanja sistema. Ako korisnik pokuša da isključi sistem i pokrene vraćanje sistema, to će biti neefikasno,
- Odlaganje izvršavanja korisnog opterećenja. Ako korisnik pokrene korisni teret, on se neće aktivirati dok ne prođe određeno vreme,
- Skriveni proces i skrivena instalacija, odnosno mogućnost sakrivanja procesa unutar menadžera zadataka. Napadač može da obezbijedi prilagođeno ime procesa da sakrije korisni teret u fascikli, koji se ne može pronaći čak i ako korisnik pokuša da vidi skrivene datoteke ili fascikle u okviru Windows podešavanja.
- Zaobilazeći antivirusnog softvera koristeći FUD Cripters – tehnika zamagljivanja za sakrivanje zlonamjernog softvera od antivirusnog sistema uređaja. To znači da zlonamjerni softver može izgledati kao da je bezopasan program antivirusnom skeneru.
Ovako pripremljen zlonamjerni softver teži 40-50KB i isporučuje se korištenjem raznih tehnika društvenog inžinjeringa. Pokrenuti Silver RAT v1.0 zlonamjerni softver uspostavlja, a kada se poveže, pojavljuje se u kontrolnoj tabli na listi inficiranih uređaja.
KONTROLNA TABLA
Nakon uspješnog povezivanja napadač dobija mogućnost da pokrene različite zlonamjerne aktivnosti na korisničkom uređaju, odnosno može da upravlja i kontroliše različite aspekte inficiranog sistema. To podrazumijeva upravljanje instaliranim aplikacijama, navigaciju u menadžeru datoteka, modifikovanje ključeva u registrima operativnog sistema, provjeru stavki za pokretanje i nadgledanje performansi inficiranog sistema.
Pored toga, napadač može da šifruje podatke na računaru žrtve pomoću ransomware zlonamjernog softvera, daljinski briše podatke i kolačiće pretraživača sa inficiranog računara, širi se poput crva preko USB medija i briše tačke vraćanja sistema.
ZAKLJUČAK
Zlonamjerni akteri koji stoje iza Silver RAT zlonamjernog softvera namjeravaju da objave nove RAT verzije nakon curenja v1.0, što ga čini slobodno dostupnim za zlonamjerne svrhe. Njegove mogućnosti koje dolaze sa keylogger funkcionalnostima, UAC zaobilaženje, šifrovanje podataka pomoću ransomware zlonamjernog softvera i funkcije za uništavanje tačaka za vraćanje sistema predstavljaju ozbiljnu prijetnju za korisnike i poslovne organizacije.
Akteri koji koji rade pod imenom “Anonymous Arabic” čini se da podržavaju Palestinu na osnovu njihovih Telegram objava, a članovi povezani sa ovom grupom aktivni su u različitim arenama, uključujući društvene medije, razvojne platforme, podzemne forume, što sugeriše njihovo učešće u distribuciji raznih zlonamjernih programa.
ZAŠTITA
Kako bi se ublažila prijetnja koju predstavlja Silver RAT zlonamjerni softver, ključno je da korisnici i organizacije daju prioritet mjerama sajber bezbjednosti kao što su:
- Sigurnosni trening koji treba da upozna korisnike o rizicima preuzimanja i instalacije aplikacija iz nepouzdanih izvora. Korisnici bi kroz sigurnosni trening trebalo da usvoje znanja prepoznavanja pokušaja krađe identiteta, sumnjivih internet veza i potencijalno štetnih aplikacija,
- Redovno ažuriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver može da iskoristi,
- Šifrovanje podataka, upotreba jakih i jedinstvenih lozinki ili metoda biometrijske autentifikacije su dobar način zaštite uređaja,
- Redovno pravljenje rezervnih kopija podataka i njihovo čuvanje na sigurnoj lokaciji omogućava brz oporavak nakon sajber incidenta,
- Izbjegavanje upotrebe besplatnih javnih WiFi mreža, posebno kada se radi o osjetljivoj komunikaciji. U ovakvim situacijama je poželjno koristiti VPN servis za sigurnu i bezbjednu mrežnu komunikaciju.
- Koristiti provjereno antivirusno riješenje opremljeno naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
- Kada su u pitanju poslovne organizacije, potrebno je koristiti sveobuhvatna bezbjednosna riješenja kao što su softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) ili softver za prošireno otkrivanje i odgovor (eng. Extended detection and response – XDR). To su rješenja koja mogu upozoriti korisnike sistema na potencijalne napade i spriječiti dalji napredak zlonamjernog softvera prije nego što dođe do značajnije štete.
- Izvršiti firewall podešavanja koja će ograničite nepotreban izlazni saobraćaj, posebno za nestandardne portove povezane sa zlonamjernim softverima.