ResolverRAT
A Morphisec jelentése szerint a ResolverRAT egy újonnan azonosított távoli hozzáférést biztosító trójai (RAT), amely fejlett memóriabeli végrehajtást, futásidejű API- és erőforrás-feloldást, valamint többrétegű elkerülési technikákat alkalmaz. A Morphisec kutatói a Resolver nevet adták neki, mivel erősen támaszkodik a futásidejű feloldási mechanizmusokra és a dinamikus erőforrás-kezelésre, amelyek jelentősen megnehezítik a statikus és viselkedésalapú elemzést.
A kezdeti hozzáférést egy többnyelvű adathalász kampány biztosítja, amely félelemkeltő témákat használ, például jogi vizsgálatokat vagy szerzői jogsértéseket említve. A kampány során a támadók olyan e-maileket küldenek, amelyekben a címzetteket arra ösztönzik, hogy kattintsanak egy rosszindulatú hivatkozásra, amely egy fájl letöltéséhez vezet, elindítva ezzel a ResolverRAT végrehajtási láncát.
A malware terjesztéséhez a támadók DLL oldalsó betöltési technikát alkalmaznak, amely során egy legitim, aláírt futtatható fájlt (például hpreader.exe) használnak, amely sebezhető a DLL eltérítésre. A rosszindulatú DLL-t ugyanabba a könyvtárba helyezik, mint a legitim alkalmazást, így annak futtatásakor automatikusan betöltődik a rosszindulatú DLL, elindítva a fertőzési láncot.
A ResolverRAT elsődleges betöltője egy több rétegű védelmi mechanizmust alkalmazó komponens, amely AES-256 titkosítással és GZip tömörítéssel védi a payloadot. A kód kizárólag memóriában kerül végrehajtásra, elkerülve a fájlrendszerrel való interakciókat. A stringek obfuszkált formában vannak tárolva, és futásidőben kerülnek dekódolásra, továbbá a beágyazott erőforrások is titkosítva vannak, egyedi olvasóval és integritásellenőrzéssel.
A malware egyéni .NET erőforrás-feloldási mechanizmust használ, amely lehetővé teszi, hogy a legitim erőforáskéréseket elfogja, és helyettük rosszindulatú assembly-ket adjon vissza. Ez a technika lehetővé teszi a kódinjekciót anélkül, hogy módosítaná a PE fejlécet vagy gyanús API-hívásokat alkalmazna, amelyek riasztásokat válthatnának ki a biztonsági megoldásokban. A ResolverRAT többféle perzisztencia mechanizmust alkalmaz, így a rendszerleíró adatbázis bejegyzéseit és a fájlrendszerbeli elhelyezést különböző könyvtárakban, például az AppData és a Program Files mappákban. A malware különböző perzisztencia módszereket próbál ki párhuzamosan, és nyomon követi a sikeres próbálkozásokat, hogy biztosítsa a tartós jelenlétet a rendszerben.
A C2 (Command and Control) infrastruktúra egy beágyazott X509Certificate2 tanúsítványt használ az SSL/TLS handshake során, amely lehetővé teszi a malware számára, hogy megkerülje a hagyományos tanúsítvány-ellenőrzési mechanizmusokat, és létrehozza a saját hitelesítési láncát a C2 szerverrel. Emellett a malware IP rotációs rendszert alkalmaz, amely lehetővé teszi a C2 szerverek közötti váltást, ha az elsődleges szerver elérhetetlenné válik.
A ResolverRAT több elkerülési technikát alkalmaz, beleértve a szabványos portokon keresztüli egyedi protokoll használatát, a tanúsítvány rögzítést, a kód obfuszkációt és az időzítő alapú kapcsolatkezelést, amely véletlenszerű időközönként próbál kapcsolatot létesíteni, megnehezítve ezzel a forgalom időzítés alapú elemzését. Az adatcseréhez a malware a Protocol Buffers (ProtoBuf) formátumot használja, amely hatékony adatstruktúrát biztosít, miközben megnehezíti a forgalom elemzését a specifikus üzenetformátumok ismerete nélkül.
A parancsok feldolgozása egy összetett, több szálon futó architektúrán keresztül történik, ahol minden beérkező parancsot egy dedikált szál dolgoz fel, és robusztus hibaellenőrzést alkalmaz, hogy megakadályozza a kapcsolat megszakadását a malware összeomlása nélkül. A nagy mennyiségű adat exfiltrációjához a ResolverRAT egy darabolási mechanizmust alkalmaz, amely az 1 MB-nál nagyobb adatokat 16 KB-os darabokra bontja, és ellenőrzi a socket írási készségét, hogy elkerülje az adatvesztést.
