Quasar RAT Malware

Quasar - очень популярный в мире RAT благодаря тому, что его код доступен с открытым исходным кодом. Эта вредоносная программа может использоваться для удаленного управления компьютером жертвы.

Что такое Quasar RAT?

Quasar - это троян удаленного доступа, используемый злоумышленниками для получения удаленного контроля над зараженными машинами. Он написан с использованием языка программирования .NET и доступен широкой публике как проект с открытым исходным кодом для операционных систем Microsoft Windows, что делает его популярным RAT, используемым во многих атаках.

Общее описание Quasar RAT

Quasar RAT был впервые обнаружен в 2015 году исследователями безопасности, которые в то время предположили, что команда внутренних разработчиков написала этот RAT после проведения анализа образца. Однако Quasar является эволюцией более старой вредоносной программы под названием xRAT, и некоторые ее образцы могут выполнять до 16 вредоносных действий.

За время своего существования вредоносная программа несколько раз обновлялась, улучшая свою общую функциональность. Последняя версия вредоносной программы, которую разработал оригинальный автор, - v. 1.3.0.0. Она была выпущена в 2016 году. С тех пор несколько сторонних разработчиков адаптировали RAT и выпустили свои собственные версии, как минорные, так и мажорные, последняя мажорная версия - v. 2.0.0.1.

RAT, который мы рассматриваем сегодня, состоит из двух основных компонентов - серверного компонента и клиентского компонента Quasar. Сервер оснащен графическим пользовательским интерфейсом и используется для управления соединениями с клиентскими программами. Клиент-серверная архитектура Quasar также используется для создания образцов вредоносного ПО, которые впоследствии доставляются потенциальным жертвам. Пользователи вредоносных программ могут выбирать атрибуты и настраивать исполняемый файл в соответствии с потребностями злоумышленника. Клиент и сервер Quasar работают на различных ОС, включая все версии Windows.

Функциональность полученной вредоносной программы включает удаленное управление файлами на зараженной машине, изменение реестра, запись действий жертвы, установление удаленных соединений с рабочим столом и многое другое. Все данные, включая запросы, отправляются на хост-сервер со строками user-agent.

Следует отметить, что выполнение Quasar может разворачиваться совершенно бесшумно. Таким образом, после того как жертва загрузит и запустит клиент Quasar, обычно поставляемый в виде документа по электронной почте, он может оставаться активным в течение длительного периода времени, похищая данные и предоставляя хакеру контроль над зараженным ПК. Вредоносная программа создает процесс, который можно обнаружить с помощью диспетчера задач Windows или аналогичного приложения, но для обнаружения присутствия трояна Quasar на машине требуются активные действия пользователя.

Что касается создателей этой вредоносной программы, то группе людей или одному человеку, стоящему за оригинальной версией этой вредоносной программы, удалось сохранить анонимность. В результате та малоизвестная информация, которой мы располагаем, не идет дальше имени автора страницы на GitHub, которое гласит "quasar".

Как видно из описания на "официальной" странице Quasar на GitHub, эта вредоносная программа представлена как легитимная программа удаленного администрирования, что явно вводит в заблуждение. На самом деле Quasar фигурировал в атаке, направленной на правительство США в начале 2017 года. Позже в том же году прошла еще одна волна атак с использованием этого вредоносного ПО, направленная на частный сектор.

Процесс выполнения Quasar RAT

По результатам анализа, процесс выполнения Quasar довольно прост, но может отличаться в незначительных деталях от образца к образцу. Строки user-agent RAT подделывают различные процессы, такие как браузер, запущенный в Windows. Затем файл изменял значение реестра, чтобы запускаться при каждом старте операционной системы, проверял внешний IP и копировал себя в другое место. После всех этих шагов вредоносная программа начинала основную вредоносную деятельность - сбор информации об операционной системе и ожидание команд с сервера C2. Quasar позволяет вредоносному ПО собирать данные о системе хоста.

Как избежать заражения Quasar?

Троян Quasar записывает себя в запланированные задачи и использует ключи реестра для достижения персистентности, что позволяет вредоносной программе запускаться каждый раз при запуске машины. Метод сохранения выбирается в зависимости от привилегий пользователя. Если у пользователя есть права администратора, вредоносная программа использует schtasks для создания запланированной задачи, которая запускается после входа пользователя в систему с максимальным уровнем запуска. Если права администратора отсутствуют, то задача по расписанию может только добавить значение реестра, настроенное в конструкторе клиента и добавленное в текущий путь в качестве программы запуска. Лучший способ избежать заражения - это знание специалистами по кибербезопасности различных строк пользовательских агентов, существующих в их сети, и выявление подозрительных строк пользовательских агентов.

Распространение Quasar RAT

Как и большинство других RAT, например, Crimson RAT или Orcus RAT, Quasar распространяется в спам-рассылках, которые содержат загрузчик вредоносной программы. Загрузчик встраивается во вложение вредоносного файла, который обычно имеет имя, призванное обмануть пользователя и заставить его думать, что он получает какой-то документ. Иногда эти файлы имеют двойное расширение, например docx.exe. Опять же, это делается для того, чтобы обмануть жертву и заставить ее думать, что вложенный файл безвреден. Конечно, после открытия такие файлы запускают командную строку, а не Microsoft Office.

Заключение

Троян Quasar - это мощная вредоносная программа с открытым исходным кодом, оснащенная надежным механизмом персистенции и полным набором вредоносных возможностей. Будучи доступным любому человеку, обладающему знаниями программирования, Quasar стал широко используемым RAT, который даже был представлен в атаке, направленной на американское правительство.

Поделиться с друзьями
SEC-1275-1