マルチデバイス ライセンス(ボリューム ディスカウント)

地域を変更

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Remote Administration Tools Klingon RAT

Klingon RAT

Remote Administration ToolsMezoまで
翻訳内容:
日本語

マルウェア作成者が作成のためにオープンソースのプログラミング言語であるGolangに目を向ける傾向は、ますます強くなっているようです。その結果、Golangで作成されたマルウェアの数はかつてないほど増えています。脅威によって示される高度化のレベルの上昇も重要です。このような脅威となるリモートアクセス型トロイの木馬の1つが、最近infosecの研究者によって検出され、その脅威をKlingonRATと名付けました。

Klingon RATは、その最もユニークなコードにより、最初に研究者の注目を集めました。これはサイバー脅威の分野ではかなり珍しいことです。マルウェアの作成者は、新しい脅威のツールを完成させるために必要な時間を短縮するために、コードの大きなチャンクを再利用することがよくあります。クリンゴンRATは、RATの脅威に期待される通常の特性を備えています。ただし、それらに加えて、セキュリティ製品、永続化メカニズム、および特権昇格の方法に対する大幅に拡張された対策が装備されています。

初期活動

侵害されたシステムでKlingonRATが実行する最初のアクションの1つは、マルウェア対策セキュリティ製品に関連する500を超えるさまざまなプロセスを強制終了しようとすることです。脅威は、システム上のアクティブなプロセスをチェックし、それらをターゲットプロセスのリストと比較します。一致するプロセスはすべて、taskkillコマンドを介して終了します。

HKEY_LOCAL_MACHINE
Software \ Microsoft \ Windows NT \ CurrentVersion \ Accessibility

HKEY_CURRENT_USER
Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ Magnify.exe

侵害されたマシン上での継続的な存在を保証するために、KlingonRATはいくつかの異なる永続化スキームを開始します。この脅威により、2つのレジストリ実行キーが作成されます。1つは現在のユーザーの下にあり、もう1つはローカルマシンにあります。 Klingon RATは、Microsoft Screen Magnifier(magnify.exe)のバイナリを乗っ取って、マルウェア自体を強制的に実行することもできます。これは、実行可能ファイルにフラグを付けて「デバッガー」ツールとして使用できるようにするイメージファイル実行オプションを介して実現されます。この手法を機能させるために、マルウェアは次の2つのレジストリキーがシステムに存在することを確認します。

Klingon RATは、「WMIC」を使用して、Windowsの起動ごとに60秒以内に破損したペイロードを開始する永続化メカニズムとして機能するイベントサブスクリプションも生成します。別の手法では、マルウェアが「WinLogon」キーを変更し、Windowsの起動時にRATを強制的に実行することができます。

最後に、Klingon RATは、「OneDriveUpdate」という名前でスケジュールされたタスクを生成します。このタスクは、システムでの永続性を維持することもできます。構成するタスクの場合、脅威は最初に「elevtor.xml」というXMLファイルをAPPDATAにドロップします。

その特権をエスカレートする

Klingon RATは、その広範な永続化技術とは別に、侵害されたシステムに対する特権をエスカレートするための同様に広範な方法を備えています。脅威はまず、2つのチェックを実行して、管理者権限がまだないかどうかを判断します。 KlingonRATは「\\\\。\\ PHYSICALDRIVE0;」を開こうとします。そして、そうしなかった場合は、「\\\\。\\ SCSI0」を開こうとします。どちらのチェックも成功しなかった場合、脅威は特権昇格ルーチンを実行します。

Klingon RATは、特定のレジストリキーを悪用し、computerdefaults.exeというプログラムを実行してプロセスを完了します。前のものと同様の別のエクスプロイトには、プログラム「Features on DemandHelper」(Fodhelper.exe)が含まれます。これは、「autoelevate」設定がtrueに設定されているバイナリです。スケジュールされたタスク「SilentCleanup」も悪用される可能性があります。攻撃者は、特権のないユーザーが開始する機能を維持しながら、可能な限り最高の特権で実行されるという事実を悪用します。 Infosecの研究者は、KlingorRATのコードでさらに別の手法である「イベントビューア」UACバイパスを発見しました。ただし、この機能は、脅威の現在のサンプルに誤って実装されているようです。

Klingon RATは、マルウェア作成者によって解き放たれる最新のGolang製品です。脅迫的なツールキットに関しては、サイバー犯罪者がこのプログラミング言語に切り替えるスレッドをさらに強化します。個々のユーザーと組織は、この新しい脅威の波に対処するために、サイバーセキュリティ戦略で適切な対策を講じる必要があります。

トレンド

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng は、ユーザーの Web ブラウザの検索機能を操作し、検索を望まない検索エンジンにリダイレクトするブラウザ拡張機能の一種です。ブラウザ ハイジャッカーとして知られるこの侵入的なソフトウェアは、ブラウザのデフォルトの検索エンジン設定を変更し、代わりにsafesearcheng.comを使用するように強制します。 Safe Search Eng のようなブラウザ ハ...

MarioLockerランサムウェア

Ransomware
MarioLocker Ransomwareは、最近マルウェアの専門家によって発見された新しいランサムウェアの脅威です。この新しいデータ暗号化トロイの木馬は、人気のあるランサムウェアファミリのいずれにも属していないようです。この種のほとんどの脅威と同様に、MarioLockerランサムウェアはシステムを危険にさらし、一般的なファイルタイプを探し、暗号化アルゴリズムを適用して標的のデータをロッ...

私の壁紙

Browser Hijackers
コンピューター ユーザーは、オンライン エクスペリエンスを向上させるために設計されたさまざまなソフトウェアやアプリケーションに遭遇することがよくあります。ただし、すべてのソフトウェアが善意を持って作成されているわけではなく、完全に安全ではないソフトウェアもあります。そのような例の 1 つは、MyWallPaper として知られるブラウザ ハイジャッカーです。 この記事では、MyWallPap...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,132
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
23,621
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
22,680
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...