AsyncRat: эволюция удалённого трояна на Rust
AsyncRat — это троян для удалённого доступа (RAT), активно наблюдаемый с 2019 года, основное назначение которого — обеспечить киберпреступникам контроль над заражёнными компьютерами. Этот вредоносный инструмент традиционно распространяется через вредоносные ссылки и фишинговые кампании, что облегчает кражу данных, выполнение произвольных команд и мониторинг активности пользователей.
Архитектура и функции AsyncRat
Благодаря модульной структуре AsyncRat предоставляет широкие возможности настройки, делая его удобным инструментом для различных хакерских групп. Исходно троян был разработан на C#, однако недавно исследователи обнаружили новые варианты, написанные на Rust.
Основные характеристики нового варианта на Rust:
- Сохраняются ключевые параметры конфигурации и протоколы связи с командно-управляющим сервером (CnC).
- Поддерживаются основные команды управления, включая установку плагинов и выполнение кода из них.
- Плагины не хранятся в виде традиционных двоичных файлов, а регистрируются в реестре HKCUSoftwareC2CPlugins и динамически загружаются в память.
Преимущества и особенности разработки на Rust
Rust не является традиционным языком для создания вредоносного ПО, но хакеры всё чаще выбирают его по нескольким причинам:
- Увеличенная сложность обратного проектирования из-за ограниченной поддержки анализа Rust в современных исследованиях безопасности.
- Двоичные файлы на Rust сложнее декодировать по сравнению с классическими языками вроде C++.
- Рост популярности Rust обусловлен его производительностью и безопасностью на уровне памяти.
Несмотря на сохранение функциональных возможностей, вариантов AsyncRat на Rust присущи некоторые отличия:
- Ограниченный набор поддерживаемых команд по сравнению с версией на C#, что указывает на активную разработку и расширение функционала.
- Зависимость от прав администратора влияет на способ постоянного запуска вредоносной программы — через запланированные задачи либо репликацию во временный каталог с запуском через batch-файлы.
Технические детали и активность разработчиков
Коммуникации AsyncRat с серверами CnC защищены протоколом TLS, что усложняет перехват и анализ трафика. В последних образцах вредоносного ПО зафиксировано следующее:
- Жёстко прописанный список из трёх уникальных серверов с ЧПУ (Command-and-Control).
- Жёстко заданные порты подключения для установления последовательных соединений с серверами.
- Сбор и передача на сервер информации о системе жертвы, включая идентификатор оборудования, сведения об OS, установленном антивирусе, статус администратора, версию клиента и производительность.
- Наличие отладочных строк в коде — прямое свидетельство ведения активной разработки и доработки трояна.
Перспективы и риски
Стоит отметить, что несмотря на выявление новых Rust-вариантов AsyncRat, большинство поставщиков систем безопасности пока не классифицировали их как часть семейства AsyncRat. Это создаёт потенциально новый сектор угроз в ландшафте кибербезопасности, требующий повышенного внимания специалистов.
_Использование Rust в вредоносных программах — новый вызов для исследователей безопасности и разработчиков антивирусных решений._ Появление подобных образцов говорит о том, что киберпреступники стремятся усложнить анализ и противодействие своим инструментам, используя современные технологии программирования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "AsyncRat: эволюция трояна удалённого доступа с Rust-модулями".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.