行業新聞與博客
QuasarRAT 部署先進的 DLL 側面加載技術
Uptycs 最近的一份研究報告重點介紹了 QuasarRAT 的演變,QuasarRAT 是一種開源遠程管理工具 (RAT),以其輕量級特性和一系列惡意功能而聞名。
根據 Uptycs 安全研究員 Tejaswini Sandapolla 週五發佈的一份報告,該基於 C# 的工具(也稱為 CinaRAT 或 Yggdrasil)被發現採用了一種名為 DLL 側面加載的複雜技術,該技術利用受信任的 Microsoft 文件來執行惡意活動。
該技術利用了 Windows 環境中這些文件命令的固有信任,使其成為網絡安全領域的重大威脅。據報道,QuasarRAT 已在 GitHub 上公開訪問,這給 Windows 用户、系統管理員和網絡安全專業人員帶來了風險。
桑達波拉寫道:“此類策略並不新鮮,但看到它們不斷發展並被其他惡意軟件菌株採用,表明了威脅行為者的適應性。” 事實上,攻擊者利用特定的受信任的 Microsoft 文件來執行此攻擊。
在初始階段,QuasarRAT 使用真實的“ctfmon.exe”加載惡意 DLL,謹慎地掩飾其意圖。此操作為攻擊者獲取“第一階段”有效負載奠定了基礎,充當後續惡意活動的網關。然後,第一階段有效負載發揮雙重作用,將合法的“calc.exe”文件和惡意 DLL 釋放到系統中。
攻擊者利用“calc.exe”,在這種情況下,它不僅僅是一個簡單的計算器應用程序。執行時,它會觸發惡意 DLL,導致“QuasarRAT”有效負載滲透到計算機內存中。
最後,在計算機內存中,有效負載利用“進程空洞”將自身嵌入到合法的系統進程中,進一步隱藏其惡意意圖並使檢測變得複雜。
為了防範 QuasarRAT 及其新功能,Uptycs 強調了維護最新軟件和保持警惕的電郵實踐、實施高級安全解決方案和培訓個人識別可疑活動的重要性。還強調與網絡安全專家的合作以及行業內的信息共享,以隨時瞭解不斷變化的威脅。
最近新聞
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要幫助嗎?聯繫我們的支持團隊 在線客服