BKDR_RARSTONE.A – продолжение следует...
6 март, 2013 - 10:35Максим ГолубевНа прошлой неделе сотрудниками кампании Trend Micro был обнаружен троян удаленного доступа BKDR_RARSTONE.A, загружающийся непосредственно в оперативную память. Данный RAT-троян считается модификацией трояна PlugX, который использовался в некоторых громких APT-кампаниях в прошлом году.
Сотрудниками кампании был получен его образец через электронную почту, который содержал специально созданный .doc файл, детектирующийся как TROJ_ARTIEF.NTZ.
Этот троян создает и исполняет BKDR_RARSTONE.A, который в свою очередь подгружает следующие файлы:
• % System% \ ymsgr_tray.exe — копия BKDR_RARSTONE.A
• % Application Data% \ profile.dat — бинарник, содержащий вредоносные процедуры BKDR_RARSTONE.A выполняет копию ymsgr_tray.exe. Этот бэкдор открывает скрытый процесс Internet Explorer, в котором он вводит код, содержащийся в profile.dat.
Как и PlugX, исполняемый код расшифровывает сам себя в оперативной памяти. Как только заканчивается расшифровка, начинается загрузка .dll-файла C&C-серверов, которая снова загружает его в память как скрытый процесс в Internet Explorer. Загруженный файл не сбрасывается в систему, а вместо этого напрямую загружается в оперативную память, что делает неэффективным систему обнаружения файлов в антивирусах. Подобно бэкдорам, BKDR_RARSTONE.A подключается к определенным сайтам и может выполнять определенные процедуры, включающие в себя перечисление файлов и каталогов, загрузку, выполнение и выгрузку файлов, самообновление и свое конфигурирование.
Стоит отметить, что среди обычных бэкдоров он отличается способностью получить контроль над свойством «Удаление записей реестра». Делается это, чтобы заполучить информацию об установленных приложениях в пораженной системе, а также знать, как удалить определенные приложения. Это может быть удобно при тихой деинсталляции приложений, которые могут конфликтовать с бэкдором, например, защите от вредоносного программного обеспечения или подобными.
Еще одна интересная особенность этого бэкдора — это способ связи. Он использует, в частности, SSL-соединение. Использование SSL имеет двойное преимущество: оно гарантирует, что связь между C&C-сервером и зараженной системой будет в зашифрованном виде, в то же время оно вписывается в нормальный трафик. Директор Центра исследования киберугроз компании Trend Micro Мартин Реслер (Martin Roesler) заметил, что появление RAT-трояна BKDR_RARSTONE, показывает, что данная технология атак актуальна в хакерской среде и следует ожидать новых изощренных приемов для поражения целевых систем.