Події 0
Ua
En
Події 0
Результат пошуку:
Еволюція екосистеми AsyncRAT: аналіз сертифікатів та інфраструктури- image 1

Еволюція екосистеми AsyncRAT: аналіз сертифікатів та інфраструктури

Відкритий вихідний код прискорив розробку не лише легітимного програмного забезпечення, а й інструментів для кібератак. Троян віддаленого доступу AsyncRAT з моменту публікації перетворився на розгалужену екосистему, яка налічує близько 40 відомих варіантів. Фахівець із кібербезпеки Ейдан Холланд з компанії Censys дослідив цю структуру, продемонструвавши масштаби клонування та розвитку шкідливого коду. Замість безперервного оновлення сигнатур захисники можуть використовувати архітектурні вразливості самих зловмисників для ефективного виявлення загроз.

Еволюція екосистеми AsyncRAT: аналіз сертифікатів та інфраструктури - зображення 1
ЕВОЛЮЦІЯ КОДУ

Відгалуження та розширення сімейства RAT

AsyncRAT був вперше опублікований на платформі GitHub у січні 2019 року розробником під псевдонімом NYAN-x-CAT як масштабна переробка старішого проєкту Quasar RAT. Від цієї кореневої версії утворилися численні відгалуження. Найбільш масовим нащадком став DCRAT (DarkCrystal RAT), який своєю чергою став основою для VenomRAT. Цей каскадний процес створення нових версій призвів до появи десятків специфічних троянів, серед яких LMTeamRAT, EchoRAT, BitRAT та Alfa Red Fox. Таке багаторівневе розгалуження коду формує складну проблему для команд безпеки, які змушені постійно адаптувати бази виявлення під нові модифікації замість того, щоб усувати першопричину.

ІНДИКАТОРИ ВРАЗЛИВОСТІ

Патерни сертифікатів як маркер виявлення

Попри складність усієї екосистеми, архітектурна одноманітність стала слабким місцем кіберзлочинців. Аналіз підтвердив, що кожен новий варіант трояна переважно успадковує структуру TLS-сертифіката свого попередника без суттєвих змін. Центральним маркером для виявлення цього сімейства стала комбінація полів “O=<Name> By <author>, L=SH, C=CN”, яку започаткував DCRAT. Використання цієї комбінації на нестандартних портах дозволяє ідентифікувати живе середовище C2 навіть тоді, коли конкретна версія шкідливого ПЗ не має власного брендування. Фахівці зазначають, що метадані сертифікатів залишаються найбільш надійною поверхнею для виявлення, оскільки імена авторів збірок або батьківських програм залишаються незмінними.

АНАЛІЗ АКТИВНОСТІ

Розподіл інфраструктури за частотністю

Масштаб розгортання екосистеми залишається вкрай нерівномірним залежно від конкретного варіанту. Згідно з результатами перевірок, базова версія AsyncRAT утримує найбільшу присутність, охоплюючи близько 49 підтверджених хостів. Її нащадок DCRAT функціонує приблизно на 36 серверах управління, а Gh0stRAT (створений на базі DCRAT) використовує понад 20 хостів. Дослідження також виявило, що у полях сертифікатів часто фігурують конкретні псевдоніми збирачів, такі як “qwqdanchun” або “alexeikun”, що оптимізує процес відстеження масштабних кампаній.

СПЕЦИФІЧНІ ВАРІАНТИ

Значення малоактивних троянів

Окрему категорію становлять вузькоспрямовані варіанти, які часто запускаються на єдиному активному хості, або взагалі не мають підтвердженої живої інфраструктури на момент перевірки. До таких екземплярів належать LMTeamRAT, ElegyRAT, CyberSpike та JasonRAT. Значення цих одиничних троянів полягає у їхніх метаданих, які містять комбінації ідентифікаторів, що не піддаються підробці. Наприклад, сертифікат для LMTeamRAT беззаперечно вказує як на батьківську гілку VenomRAT, так і на конкретного розробника. Моніторинг цих менш активних вузлів є надзвичайно важливим, оскільки вони можуть бути індикаторами підготовки до цілеспрямованих атак на підприємства.

ОПТИМІЗАЦІЯ МОНІТОРИНГУ

Проблеми хибних спрацьовувань

Використання виключно назв варіантів для відстеження загроз має суттєві обмеження. Унікальні імена на кшталт ArchosaurRAT або ShiningForceRAT створюють чисті запити, генеруючи мінімальну кількість хибних спрацьовувань. Водночас пошук за більш загальними назвами призводить до критичних конфліктів із легітимними організаціями. Наприклад, запити щодо PhoenixRAT перетинаються з промисловим обладнанням компанії Phoenix Contact GmbH, а результати для PegasusRAT губляться в інформаційному шумі від продуктів NSO Group. З огляду на це системам виявлення потрібен перевірений зразок сертифіката чи вміст панелі керування, а не просто збіг за назвою.

Еволюція екосистеми AsyncRAT демонструє необхідність переходу від класичного блокування файлів за сигнатурами до відстеження інфраструктурних патернів. Зловмисники продовжуватимуть створювати нові відгалуження коду, проте їхня залежність від застарілих структур TLS-сертифікатів залишається потужним інструментом для команд захисту. Аналіз цих метаданих здатний значно збільшити ефективність виявлення середовищ C2.

iIT Distribution є дистриб’ютором рішень для забезпечення інформаційної безпеки та ІТ-інфраструктури. Команда експертів iITD надає всебічну підтримку під час консалтингу, проєктування, розгортання та налаштування передових систем Threat Intelligence. Співпраця з iIT Distribution гарантує кваліфікований супровід на всіх етапах партнерських проєктів, допомагаючи командам адаптуватися до мінливого ландшафту загроз.

НОВИНИ

Актуальні новини на вашу тему

Усі новини
Усі новини