CYFIRMA предоставляет информацию о киберугрозах, включая троян удаленного доступа NonEuclid, который обладает сложностью и использует передовые методы обхода.
NonEuclid RAT
NonEuclid разработан на C# и предназначен для работы с минимальными проверками безопасности, что делает его сложным для обнаружения и блокирования системами безопасности. Он завоевал популярность благодаря скрытности, антивирусной проверке виртуальных машин и шифрованию по алгоритму AES. Троян становится всё популярнее среди киберпреступников, и возникают скоординированные попытки его распространения и использования в злонамеренных операциях.
Основные функции NonEuclid включают инициализацию и задержку при запуске, проверку привилегий и безопасности, установку и обработку мьютексов, защиту от обнаружения и ведение журнала, а также сокетную связь для поддержания связи с сервером. Методы трояна включают AntiScan, AntiProcess, Anti-VM и обход Antimalware Scan Interface (ASMI).
Метод AntiScan пытается обойти сканирование Windows Defender путем добавления исключений в параметры реестра. Метод AntiProcess отслеживает запущенные процессы и завершает определенные целевые процессы. Метод RunAntiAnalysis проверяет, запущена ли программа на виртуальной машине, используя системную информацию. Код также содержит обход ASMI, который ищет модуль "amsi.dll" в системе.
NonEuclid - сложный троян удаленного доступа, который использует передовые методы обхода и сложен для обнаружения. Он имеет различные функции, такие как антисканирование, антипроцесс, антивиртуальная машина и обход ASMI. Этот троян становится всё популярнее среди киберпреступников и используется в злонамеренных операциях.
Indicators of Compromise
SHA256
- d32585b207fd3e2ce87dc2ea33890a445d68a4001ea923daa750d32b5de52bf0
- e1f19a2bc3ce5153e8dfe2f630cc43d6695fac73f5aaa59cd96dc214ca81c2b0
