AsyncRAT és klónjai
AsyncRAT, egy 2019‑ben nyílt forráskódúként indult C#-alapú backdoor eszköz, nemcsak alapvető kulcsnaplózási, képernyőmegosztási és hitelesítés lopási opciókkal rendelkezik, hanem moduláris felépítése és egyszerű testreszabhatósága révén hamar széles körben elterjedt a kibertámadók körében. Az ESET‑kutatói feltárták, hogy AsyncRAT eredetileg részben a korábbi Quasar RAT kriptográfiai megoldásaira épült, bizonyos AES256 és SHA256 algoritmusokat és sóértékeket átvéve.
Az évek során számos változat alakult ki, amelyek közül a leggyakoribbak a DcRat, VenomRAT és SilverRAT. Ezekkel szemben üzletiesebb funkcionalitás, továbbfejlesztett elrejtő technikák – például AMSI és ETW patching – és moduláris komponensek jelentek meg. A DcRat különösen erősnek számít, mert képes leállítani biztonsági folyamatokat (pl. TaskMgr, MsMpEng), és hatékonyan rejt el tevékenységeket.
A VenomRAT ennek továbbfejlesztett változata, majd SilverRAT és más kisebb, ritkábban előforduló klónok jelennek meg, amelyek között tréfás projektek (SantaRAT, BoratRAT) is akadnak, de némelyik elég komoly technikai újításokat is tartalmaz. A kevésbé ismert változatok – mint a NonEuclid RAT – speciális plugineket hoznak használatba, például USB-alapú elterjedést, képalkotó ijesztő modulokat (Screamer.dll) és kriptotárca-eltérítőt (cliper.dll).
A kutatók hangsúlyozzák, hogy az open-source eredet lehetővé teszi, hogy kevés szakértelemmel rendelkező támadók is könnyen hatékony RAT‑ot hozzanak létre vagy használjanak, hiszen nem kell nulláról fejleszteniük. Emiatt a fenyegetés egyre diverzifikáltabbá válik, hiszen egy-egy fork már specializált támadási célokra is alkalmassá vált, például zsarolóprogramok telepítésére, hitelesítő adatok gyűjtésére vagy hardware‑szintű manipulációkra.
Az ESET arra figyelmeztet, hogy a hagyományos, fájlközpontú védelem nem elég, és elengedhetetlen a viselkedésalapú detektálás, a C2‑kommunikáció észlelése, memória‑monitorozás, valamint a naplózott folyamatok folyamatos elemzése. A policy‑hoz tartozóan javasolt EDR/XDR‑rendszerek konfigurálása, amelyek automatikusan felismerik az AMSI/ETW tiltásokat és USB‑szkript telepítéseket.
