Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ AsyncRAT и эволюция угроз от модульных RAT-форков

15
3 мин
AsyncRAT, или троян асинхронного удаленного доступа, с момента его публичного релиза на GitHub в 2019 году занял заметное место в арсенале киберпреступников. Созданный на языке C#, этот инструмент обладает широким спектром функций, характерных для RAT (Remote Access Trojan), включая кейлоггинг, захват экрана и кражу учетных данных. Благодаря открытому исходному коду AsyncRAT получил многочисленные варианты — форки, каждый из которых модернизирует и усложняет задачи обнаружения вредоносной активности. AsyncRAT построен на модульной архитектуре, что делает его гибким и настраиваемым под конкретные задачи злоумышленников. Среди ключевых возможностей этого трояна: При этом AsyncRAT имеет некоторое сходство с более ранним Quasar RAT в части криптографии, но при этом является полностью переработанным проектом с существенными улучшениями по части эффективности и скрытности. На базе исходного кода AsyncRAT появилось множество форков, которые представляют собой эволюцию оригинального продукта.
Оглавление
Источник: www.welivesecurity.com
Источник: www.welivesecurity.com

AsyncRAT и его форки: обзор современных угроз в мире вредоносного ПО

AsyncRAT, или троян асинхронного удаленного доступа, с момента его публичного релиза на GitHub в 2019 году занял заметное место в арсенале киберпреступников. Созданный на языке C#, этот инструмент обладает широким спектром функций, характерных для RAT (Remote Access Trojan), включая кейлоггинг, захват экрана и кражу учетных данных. Благодаря открытому исходному коду AsyncRAT получил многочисленные варианты — форки, каждый из которых модернизирует и усложняет задачи обнаружения вредоносной активности.

Функциональные особенности и архитектура AsyncRAT

AsyncRAT построен на модульной архитектуре, что делает его гибким и настраиваемым под конкретные задачи злоумышленников. Среди ключевых возможностей этого трояна:

  • Ведение кейлоггинга и сбор данных с клавиатуры;
  • Захват экрана жертвы в реальном времени;
  • Кража учетных данных и иной конфиденциальной информации;
  • Широкая поддержка плагинов, расширяющих функционал;
  • Использование современных методов обхода систем защиты, включая AMSI и ETW;
  • Использование криптографии для шифрования данных, в частности AES-256 для реализации функций вымогательства.

При этом AsyncRAT имеет некоторое сходство с более ранним Quasar RAT в части криптографии, но при этом является полностью переработанным проектом с существенными улучшениями по части эффективности и скрытности.

Ведущие форки: DcRat, VenomRAT и другие

На базе исходного кода AsyncRAT появилось множество форков, которые представляют собой эволюцию оригинального продукта.

  • DcRat — один из наиболее продвинутых вариантов, использующий технологию передачи данных MessagePack и применяющий современные обходные техники, такие как AMSI bypass и исправление ETW. Его широкая инфраструктура плагинов поддерживает доступ к веб-камерам, запись с микрофона, а также функции шифрования для вымогательства.
  • VenomRAT черпает вдохновение из DcRat и объединяет похожие функциональные возможности, что делает его опасным инструментом в арсенале киберпреступников.
  • Менее угрожающие, но все же интересные форки SantaRAT и BoratRAT демонстрируют, что даже «развлекательные» версии AsyncRAT могут быстро стать объектом внимания злоумышленников.

Анализ конфигураций и модулей форков

Изучение форков AsyncRAT включает в себя анализ их конфигурационных файлов, которые часто содержат сведения о структуре управления и контроля (C&C). Это помогает исследователям связывать вредоносное ПО с конкретными группами и выявлять тенденции использования.

Основные методы идентификации форков и их происхождения:

  • Анализ способов шифрования конфигураций;
  • Проверка соглашений об именах и структурировании кода;
  • Выявление встроенных плагинов, например, тех, что нацелены на USB-устройства;
  • Использование дополнительных вредоносных функций, таких как WormUsb.dll, компрометирующий исполняемые файлы путем удаления заглушек с вредоносным кодом под видом безобидных программ.

Новые тенденции и вызовы 2024 года

Последние исследования показывают появление еще более сложных вариантов AsyncRAT, выпущенных в 2024 году. Они демонстрируют:

  • Отличительные соглашения по кодированию и стили разработки;
  • Стратегии локализации с использованием плагинов для кражи браузерных учетных данных;
  • Интеграцию инструментов из различных open-source проектов, что расширяет возможности вредоносного ПО и размывает границу между враждебными действиями и креативным использованием технологий.

Выводы: почему AsyncRAT опасен для современного кибербезопасного ландшафта

Распространение AsyncRAT и его многочисленных форков иллюстрирует серьезность угрозы, исходящей от открытых платформ с вредоносным ПО. Киберпреступники активно используют эти инструменты для создания сложных и устойчивых атак при минимальных затратах.

_Учитывая это, вопрос повышения уровня кибербезопасности становится критически важным,_ поскольку только проактивные меры и современные средства защиты смогут эффективно противостоять динамично развивающимся угрозам, основанным на AsyncRAT и его потомках.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ AsyncRAT и эволюция угроз от модульных RAT-форков".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются