DarkComet, sakriveni trojanac za daljinski pristup, tiho se infiltrira u sisteme, kradući osjetljive podatke kao što su kredencijali i lozinke. Također djeluje kao backdoor, omogućavajući napadačima da instaliraju maliciozni softver i kontrolišu zaražene mašine za maliciozne aktivnosti.
DarkComet je trojanac za daljinski pristup (RAT) koji je 2008. godine kreirao Jean-Pierre Lesueur. Zlonamjerni softver može onemogućiti antivirusne programe, instalirati dodatni maliciozni softver ili regrutirati zaražene mašine u botnetove za dalje napade. Simptomi infekcije su često skriveni od korisnika.
Tehnička analiza
Njegovo korisničko sučelje je doprinijelo njegovoj širokoj upotrebi, što onemogućava sigurnosne mjere da ostanu neprimjećene i često se distribuiše putem paketa softvera, prikrivenih e-poruka ili ranjivosti web stranice.
Koristeći više tehnika, izbjegava otkrivanje i uspostavlja daljinsku kontrolu, jer analiza otkriva da maliciozni softver modifikuje atribute datoteke pomoću naredbe “attrib”, potencijalno se označavajući kao sistemsku datoteku (skrivenu i kritičnu) i skrivajući ispuštene izvršne datoteke na neočiglednim lokacijama ( npr. C:\Users\admin\Documents\MSDCSC\msdcsc.exe).
Takođe je u interakciji sa Windows API-jima kako bi manipulisao privilegijama procesa, potencijalno podižući svoj pristup i kontrolu nad zaraženim sistemom, što omogućava komunikaciju sa unaprijed definisanim malicioznim domenom za daljinsku kontrolu i eksfiltraciju podataka.
Trojanac za daljinski pristup (RAT) prikuplja detaljne sistemske informacije koristeći GetCurrentHwProfileA API za identifikaciju hardvera i statusa priključka i također preuzima datum, vrijeme i lokaciju iz registra.
Maliciozni softver koristi funkciju pod nazivom sub_4735E8 za obradu različitih tačaka podataka, uključujući adrese C2 servera, korisničke SID-ove i mutex vrijednosti, prikrivajući ih za analizu, koja se ponavlja kroz interne strukture podataka ( DARKCOMET DATA ) kako bi izvukla specifične informacije na osnovu navedenih parametara.
Pogledajte sesiju analize , ekstrahovani podaci uključuju C2 domen za komunikaciju, datum instalacije i mehanizme postojanosti kao što su ključevi registratora. Važno je da DarkComet održava originalni datum kreiranja izvršne datoteke kako bi se izbjegla sumnja tokom forenzičke istrage.
Tajno se infiltrira u sisteme tako što ispušta i izvršava svoju kopiju u direktoriju specifičnom za korisnika. Da bi opstao, lukavo modifikuje unose u registratoru, osiguravajući njegovo automatsko izvršavanje nakon pokretanja sistema.
Jednom instaliran, koristi funkcije na nivou sistema za simulaciju korisničkog unosa, hvatanje pritisaka na tastere i eksfiltriranje osetljivih podataka. Manipulišući događajima miša i tastature i presretanje sadržaja međuspremnika, DarkComet diskretno kontroliše zaražene sisteme, što predstavlja značajnu bezbjednosnu prijetnju.
To je maliciozni softver koji server za komandu i kontrolu daljinski kontroliše i šalje precizna uputstva ili komande zaraženom sistemu, omogućavajući napadaču da izvrši razne maliciozne aktivnosti.
Ove naredbe se mogu koristiti za krađu podataka iz sistema, izmjenu njegovih postavki ili implementaciju dodatnog malicioznog softvera. Stručnjaci za sigurnost mogu steći vrijedan uvid u ciljeve i metode napadača analizom ovih naredbi.
Prema ANY RUN izvještaju , DarkComet, sofisticirani RAT, predstavlja značajnu prijetnju zbog svojih prikrivenih tehnika i opsežnih mogućnosti, koje izbjegavaju otkrivanje modificiranjem sistemskih postavki i ključeva registratora dok prikuplja osjetljive informacije i daljinski izvršava maliciozne komande.
Njegova svestranost, uključujući njegovu sposobnost da manipuliše sistemskim postavkama, simulira unos korisnika i upravlja uslugama, čini ga moćnim alatom za napadače. Lakoća upotrebe malicioznog softvera i bogat skup funkcija doprinijeli su njegovoj širokoj primjeni, posebno u ciljanim cyber napadima.
Šta je ANY RUN
Više od 500.000 profesionalaca za kibernetičku sigurnost širom svijeta vjeruje ANY.RUN-u da pojednostavi analizu zlonamjernog softvera. Naš interaktivni sandbox omogućava brzo i efikasno istraživanje prijetnji usmjerenih na Windows i Linux sisteme.
Pored toga, naši alati za obavještavanje o prijetnjama – TI Lookup , YARA Search i Feeds – omogućavaju vam da brzo pronađete IOC-ove ili datoteke, pomažući vam da shvatite prijetnje i ubrzate odgovor na incidente.
Sa ANY.RUN, možete:
- Otkrijte zlonamjerni softver u roku od nekoliko sekundi
- Analizirajte i komunicirajte s uzorcima u realnom vremenu
- Eliminišite potrebu za skupim postavljanjem i održavanjem sandbox-a
- Snimite i proučite detaljno ponašanje zlonamjernog softvera
- Neometano sarađujte sa svojim timom
- Skalirajte bez napora kako biste zadovoljili svoje potrebe
Izvor: CyberSecurityNews
