Uptycs最近的一份研究报告强调了QuasarRAT的发展,QuasarRAT是一种开源远程管理工具(RAT),以其轻量级和恶意功能范围而闻名。
Uptycs安全研究员Tejaswini Sandapolla上周五发布的一份报告显示,这个基于C#的工具(也被称为CinaRAT或Yggdrasil)被发现采用了一种名为DLL side-loading的复杂技术,利用受信任的微软文件执行恶意活动。
这种技术利用了Windows环境中固有的信任这些文件命令,使其成为网络安全领域的重大威胁。据报道,QuasarRAT可以在GitHub上公开访问,这对Windows用户、系统管理员和网络安全专业人员构成了风险。
Sandapolla写道:“这种策略并不新鲜,但看到它们的演变并被其他恶意软件所采用,表明了威胁行为者的适应性。事实上,攻击者利用特定的可信Microsoft文件来执行此攻击。“
在初始阶段,QuasarRAT使用真实的ctfmon.exe加载恶意DLL,谨慎地掩饰其意图。此操作为攻击者获取阶段1有效负载设置了阶段,作为后续恶意活动的网关。然后,阶段1有效负载扮演双重角色,将合法的calc.exe文件和恶意DLL释放到系统中。
攻击者利用calc.exe,在这里它不仅仅是一个简单的计算器应用程序。当执行时,它会触发恶意DLL,导致QuasarRAT有效载荷渗透到计算机内存中。
最后,在计算机内存中,有效载荷采用进程空化将自身嵌入到合法的系统进程中,进一步隐藏其恶意意图并使检测复杂化。
为了防范QuasarRAT及其新功能,Uptycs强调了维护最新软件和警惕电子邮件实践的重要性,以及实施先进的安全解决方案和培训个人识别可疑活动。公司还强调与网络安全专家的合作以及行业内的信息共享,以便及时了解不断变化的威胁。