HackerNews 编译,转载请注明出处:
网络安全研究人员近日揭示了一款名为NonEuclid的新型远程访问木马,该木马可使不法分子远程控制受感染的Windows系统。
Cyfirma上周发布的技术分析指出:“NonEuclid远程访问木马(RAT)采用C#开发,是一款高度复杂的恶意软件,通过先进的规避技术提供未经授权的远程访问。”
“它运用多种机制,包括杀毒软件绕过、权限提升、反检测和针对关键文件的勒索软件加密。”
自2024年11月底以来,NonEuclid已在地下论坛中被宣传,并在Discord、YouTube等热门平台上发现了有关该恶意软件的教程和讨论。这表明有人正有组织地将其作为犯罪软件解决方案进行分发。
该RAT的核心是从客户端应用程序的初始化阶段开始,之后进行一系列检查以躲避检测,然后再为与指定IP和端口的通信建立TCP套接字。
它还会配置Microsoft Defender防病毒排除项,以防止安全工具标记其相关文件,并监控如“taskmgr.exe”、“processhacker.exe”和“procexp.exe”等常用于分析和进程管理的进程。
Cyfirma表示:“它使用Windows API调用(CreateToolhelp32Snapshot、Process32First、Process32Next)来枚举进程,并检查其可执行文件名是否与指定目标匹配。如果找到匹配项,则根据AntiProcessMode设置,要么终止该进程,要么触发客户端应用程序退出。”
该恶意软件采用的一些反分析技术包括检查其是否在虚拟或沙盒环境中运行,一旦发现,则立即终止程序。此外,它还具备绕过Windows反恶意软件扫描接口(AMSI)的功能。
NonEuclid通过计划任务和Windows注册表更改实现持久性,并试图通过绕过用户帐户控制(UAC)保护来提升权限并执行命令。
一个相对罕见的功能是,它能够加密具有特定扩展名(如.CSV、.TXT和.PHP)的文件,并将它们重命名为“.NonEuclid”扩展名,从而有效转变为勒索软件。
Cyfirma称:“NonEuclid RAT是现代恶意软件日益复杂的典型代表,结合了先进的隐蔽机制、反检测功能和勒索软件能力。它在地下论坛、Discord服务器和教程平台上的广泛宣传表明,它对网络犯罪分子具有吸引力,并凸显了应对此类威胁的挑战。该恶意软件集成了权限提升、AMSI绕过和进程阻止等功能,展示了其在躲避安全措施方面的适应性。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
