Xeno RAT zlonamjerni softver otvorenog kôda

AUTOR ·

Otkriven je novi sofisticirani zlonamjerni softver otvorenog kôda, nazvan Xeno RAT, napisan u programskoj jeziku C# i kompatibilan sa Windows 10 i Windows 11 operativnim sistemima. Ovaj novi zlonamjerni softver ima mogućnost izbjegavanja detekcije, generisanja korisnog tereta i dodavanja vektora prijetnje.

Xeno RAT

Xeno RAT zlonamjerni softver otvorenog kôda; Source: Bing Image Creator

XENO RAT

Ovaj zlonamjerni RAT (eng. remote access trojan – RAT) otvorenog kôda dolazi sa sveobuhvatnim skupom funkcija za daljinsko upravljanje sistemom, ako je vjerovati njegovom programeru, koji se krije iza nadimka moom825. Neke od mogućnosti ovog zlonamjernog softvera su:

  • Praćenje aktivnost žrtve.
  • Koristi odbrambene mjere za izbjegavanje analize.
  • Koristi skriveno virtualno mrežno računarstvo (hVPN)  za pristup kompromitovanim sistemima.
  • Koristi SOCKS5 proxy za povezivanje sa C2 serverom.
  • Postiže postojanost koristeći zakazani zadatak.
  • Koristi ubrizgavanje procesa za ciljanje legalnog Windows procesa (hh.exe i colorcpl.exe)
  • Koristi zamagljivanje kôda i mrežnog saobraćaja.
  • Prima i izvršava komande od C2 servera.
  • Primjenjuje mjere protiv otklanjanja grešaka i aktivno izbjegava mehanizme otkrivanja.
  • Šalje ažuriranje statusa na C2 server u redovnim intervalima.
  • Može da se dodaje i uklanja iz pokretanja sistema.
  • Može se sam deinstalirati sa kompromitovanog sistema.

 

“Xeno RAT je razvijen u potpunosti od nule, osiguravajući jedinstven i prilagođen pristup alatima za daljinski pristup.”

 moom825, developer

 

Programer ovog zlonamjernog softvera otvorenog kôda odlučio je da ga učini dostupnim svima na platformi GitHub, a pored toga se obavezao da će kontinuirano pružati ažuriranja tokom vremena, ugrađujući dodatne funkcije u zlonamjerni softver. Xeno RAT zlonamjerni softver ima modul za pravljenje koji omogućava kreiranje prilagođene verzije zlonamjernog softvera, što je zlonamjerni akter koji stoji iza ovog softvera iskoristio da razvije i distribuira sopstvenu verziju zlonamjernog softvera preko Discord CDN mreže.

Možda još napomenuti da je akter koji se krije iza nadimka moom825 takođe autor još jednog RAT softvera napisanog u programskom jeziku C# pod nazivom DiscordRAT 2.0 koji je širili zlonamjerni akteri u okviru zlonamjernog npm paketa pod nazivom node-hide-console-windows otkrivenog od strane sigurnosnih istraživača kompanije ReversingLabs.

 

XENO RAT ANALIZA

Primarni uzorak zlonamjernog softvera se isporučuje kao datoteka prečice (.lnk) označena opisom WhatsApp_2023-12-12_12-59-06-18264122612_DCIM.png. Ova datoteka funkcioniše kao program za preuzimanje, koristeći Windows komandno okruženje za preuzimanje, izdvajanje i izvršavanje korisnog tereta iz ZIP arhive, koja se nalazi na Discord CDN adresi. Izvršavanje se odvija u više faza, kako bi se izbjegla detekcija.

 

Prva faza

Komanda za de-maskiranje otkriva preuzimanja sa dvije skraćene adrese, obije upućuju na Discord CDN adrese. Prva adresa u komandi preuzima običnu sliku, dok se korisni teret preuzima sa druge adrese. Korisni teret se nalazi u ZIP arhivi koja se sadrži tri datoteke od kojih su dvije prenosive izvršne datoteke EXE i DLL, a treća datoteka je pod nazivom LICENSE.

Windows izvršna datoteka ADExplorer64.exe je Active Directory Explorer koja služi kao napredni pregledač i Active Directory (AD) uređivač. DLL datoteka pod nazivom samcli.dll je korisno opterećenje koje imitira originalne DLL datoteke Security Accounts Manager Client DLL, digitalno potpisana certifikatom koji se ne može verifikovati, dok LICENSE datoteka sadrži zamagljeni tekst sa dozvolama za čitanje/pisanje.

 

Druga faza

Tokom druge faze izvršavanja, komanda iz .lnk datoteke pokreće datoteku ADExplorer64.exe bez ikakvih upita, koja se za svoju funkcionalnost oslanja na samcli.dll. Ovdje zlonamjerni akter koristi funkcionalnost redoslijeda pretrage DLL datoteka operativnog sistema Windows tako što je pozicionirao zlonamjerni DLL sa istim imenom u trenutnom radnom direktorijumu, pa se zbog toga zlonamjerna datoteka samcli.dll učitava u ADExplorer64.exe, dok se u sljedećoj ova datoteka čita zamagljenu LICENSE datoteku. Pročitani sadržaj iz LICENSE datoteke, ADExplorer64.exe ubacuje u prethodno suspendovani proces hh.exe, koji se zatim nastavlja.

 

Treća faza

Za vrijeme treće faze, proces hh.exe generiše suspendovani colorcpl.exe  proces i zatim se upisuje u njegovu memoriju. Proces hh.exe se završava i proces colorcpl.exe se nastavlja pod explorer.exe nadređenim procesom.

 

Četvrta finalna faza

U finalnoj fazi, proces colorcpl.exe provjerava da li postoji bilo kakva instalacija Xeno RAT zlonamjernog softvera na uređaju, pa u slučaju da ne postoji počinje komunikacija sa C2 serverom gdje se šalje i prima zamagljeni sadržaj. Analiza je ovdje pokazala mogućnosti koje podrazumijevaju komunikaciju sa serverom za komandu i kontrolu (C2) preko SOCKS proxy servera, prijem komandi, prenos ažuriranja, dodavanje i uklanjanje iz automatskog pokretanja sa sistemom i mogućnost da se sam deinstalira. Ovaj zlonamjerni softver se takođe dodaju u planirane zadatke radi postizanja postojanosti na inficiranom uređaju.

 

ZAKLJUČAK

Xeno RAT je zlonamjerni softver koji pokazuje potencijal dinamičkog razvoja uz posjedovanje naprednih mogućnosti, napisan u programskom jeziku C#. Njegov autor ga je učinio dostupnim svima na platformi GitHub, gdje ga zlonamjerni akteri mogu iskoristiti da bi izvršili napade na mete kroz različite taktike, kao što je distribucija besplatnog sadržaja i phishing napadi preko elektronskih poruka. Na kraju, autor obećava stalna ažuriranja kako bi poboljšao funkcionalnost ovog zlonamjernog softvera što predstavlja značajnu opasnost za korisnike u budućnosti.

 

ZAŠTITA

Da bi se smanjili rizici povezani sa Xeno RAT je zlonamjernim softverom, korisnici bi trebalo da primjenjuju sljedeće preporuke:

  • Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
  • Korištenje sveobuhvatnih bezbjednosnih riješenja kao što su softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) ili softver za prošireno otkrivanje i odgovor (eng. Extended detection and response – XDR). To su rješenja koja mogu upozoriti korisnike sistema na potencijalne napade i spriječiti dalji napredak zlonamjernog softvera prije nego što dođe do značajnije štete,
  • Redovno ažuriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver može da iskoristi,
  • Edukacija zaposlenih o rizicima koji se odnose na mrežu, uređaje i infrastrukturu poslovne organizacije mogu značajno pomoći u prevenciji napada, jer ljudski faktor ostaje jedna od najvećih ranjivosti u sajber bezbjednosti. Redovne obuke zaposlenih mogu pomoći u identifikaciji i prijavi sajber napada,
  • Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica,
  • Implementirati sveobuhvatna rješenja za praćenje i otkrivanje anomalne mrežne aktivnosti i potencijalne indikatore kompromisa. Praćenje u realnom vremenu omogućava brzu reakciju na incidente i ublažavanje sigurnosnih incidenata prije nego što oni eskaliraju.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.