Klingon RAT

La tendencia de los autores de malware a recurrir al lenguaje de programación de código abierto Golang para sus creaciones parece ser cada vez más fuerte. Como resultado, la cantidad de malware escrito en Golang nunca ha sido tan alta. El aumento en el nivel de sofisticación mostrado por las amenazas también ha sido significativo. Recientemente, investigadores de infosec detectaron uno de estos troyanos de acceso remoto amenazadores, quienes llamaron a la amenaza Klingon RAT.

El Klingon RAT llamó por primera vez la atención de los investigadores debido a su código más exclusivo. Esta es una ocurrencia bastante poco común en el espacio de las amenazas cibernéticas: los creadores de malware a menudo reutilizan grandes fragmentos de código para reducir el tiempo necesario para completar una herramienta nueva y amenazante. El Klingon RAT posee las características habituales que se esperan de una amenaza RAT. Sin embargo, además de ellos, ha sido equipado con medidas enormemente ampliadas contra productos de seguridad, mecanismos de persistencia y métodos para escalar privilegios.

Actividad inicial

Una de las primeras acciones tomadas por Klingon RAT en un sistema comprometido es intentar eliminar más de 500 procesos diferentes asociados con productos de seguridad anti-malware. La amenaza verifica los procesos activos en el sistema y los compara con una lista de procesos específicos. Cualquier proceso de coincidencia se terminará mediante el comando de eliminación de tareas.

HKEY_LOCAL_MACHINE
Software \ Microsoft \ Windows NT \ CurrentVersion \ Accesibilidad

HKEY_CURRENT_USER
Software \ Microsoft \ Windows NT \ CurrentVersion \ Opciones de ejecución de archivos de imagen \ magnify.exe

Para asegurar su presencia continua en las máquinas violadas, Klingon RAT inicia varios esquemas de persistencia diferentes. La amenaza crea dos claves de ejecución del Registro: una en Usuario actual y otra en Máquina local. El Klingon RAT también puede secuestrar el binario de Microsoft Screen Magnifier - magnify.exe, y obligarlo a ejecutar el malware en sí. Esto se logra a través de las Opciones de ejecución de archivos de imagen que permiten marcar cualquier ejecutable y usarlo como una herramienta de "depuración". Para que esta técnica funcione, el malware se asegura de que existan las siguientes dos claves de registro en el sistema:

El Klingon RAT también emplea 'WMIC' para generar una suscripción de evento que actúa como un mecanismo de persistencia que iniciará la carga útil corrupta dentro de los 60 segundos posteriores a cada inicio de Windows. Otra técnica permite que el malware modifique la clave 'WinLogon' y obligue a ejecutar la RAT durante el inicio de Windows.

Finalmente, Klingon RAT genera una tarea programada con el nombre 'OneDriveUpdate' que también puede mantener su persistencia en el sistema. Para configurar la tarea, la amenaza primero suelta un archivo XML llamado 'elevtor.xml' en APPDATA.

Escalando sus privilegios

Aparte de sus extensas técnicas de persistencia, el Klingon RAT también está equipado con formas igualmente extensas de escalar sus privilegios en el sistema violado. La amenaza primero determinará si aún no tiene derechos de administrador realizando dos comprobaciones. El Klingon RAT intentará abrir '\\\\. \\ PHYSICALDRIVE0;' y, si no lo hace, intentará abrir '\\\\. \\ SCSI0'. Si ninguna de las comprobaciones tiene éxito, la amenaza activará sus rutinas de escalada de privilegios.

Klingon RAT aprovechará una clave de registro específica y ejecutará un programa llamado computerdefaults.exe para completar el proceso. Otro exploit similar al anterior involucra al programa 'Features on Demand Helper' (Fodhelper.exe). Es un binario que tiene su configuración 'autoelevate' establecida en verdadero. La tarea programada 'SilentCleanup' también podría explotarse. Los actores de la amenaza abusan del hecho de que se ejecuta con los privilegios más altos posibles, al mismo tiempo que mantienen la capacidad de ser iniciado por usuarios sin privilegios. Los investigadores de Infosec encontraron otra técnica: el bypass de UAC 'Visor de eventos', en el código de Klingor RAT. Sin embargo, esta funcionalidad parece implementarse incorrectamente en las muestras actuales de la amenaza.

El Klingon RAT es solo el último producto de Golang lanzado por los creadores de malware. Refuerza aún más el hilo de los ciberdelincuentes que cambian a este lenguaje de programación cuando se trata de su juego de herramientas amenazante. Los usuarios individuales y las organizaciones deben comenzar a tomar las medidas adecuadas en su estrategia de ciberseguridad para tener en cuenta esta nueva ola de amenazas.