行业新闻与博客

QuasarRAT 部署先进的 DLL 侧面加载技术

Uptycs 最近的一份研究报告重点介绍了 QuasarRAT 的演变,QuasarRAT 是一种开源远程管理工具 (RAT),以其轻量级特性和一系列恶意功能而闻名。 

根据 Uptycs 安全研究员 Tejaswini Sandapolla 周五发布的一份报告,该基于 C# 的工具(也称为 CinaRAT 或 Yggdrasil)被发现采用了一种名为 DLL 侧面加载的复杂技术,该技术利用受信任的 Microsoft 文件来执行恶意活动。

该技术利用了 Windows 环境中这些文件命令的固有信任,使其成为网络安全领域的重大威胁。据报道,QuasarRAT 已在 GitHub 上公开访问,这给 Windows 用户、系统管理员和网络安全专业人员带来了风险。

桑达波拉写道:“此类策略并不新鲜,但看到它们不断发展并被其他恶意软件菌株采用,表明了威胁行为者的适应性。” 事实上,攻击者利用特定的受信任的 Microsoft 文件来执行此攻击。 

在初始阶段,QuasarRAT 使用真实的“ctfmon.exe”加载恶意 DLL,谨慎地掩饰其意图。此操作为攻击者获取“第一阶段”有效负载奠定了基础,充当后续恶意活动的网关。然后,第一阶段有效负载发挥双重作用,将合法的“calc.exe”文件和恶意 DLL 释放到系统中。 

攻击者利用“calc.exe”,在这种情况下,它不仅仅是一个简单的计算器应用程序。执行时,它会触发恶意 DLL,导致“QuasarRAT”有效负载渗透到计算机内存中。 

最后,在计算机内存中,有效负载利用“进程空洞”将自身嵌入到合法的系统进程中,进一步隐藏其恶意意图并使检测变得复杂。

为了防范 QuasarRAT 及其新功能,Uptycs 强调了维护最新软件和保持警惕的电子邮件实践、实施高级安全解决方案和培训个人识别可疑活动的重要性。还强调与网络安全专家的合作以及行业内的信息共享,以随时了解不断变化的威胁。


需要帮助吗?联系我们的支持团队 在线客服