行業新聞與部落格

Uptycs 最近的一份研究報告重點介紹了 QuasarRAT 的演變，QuasarRAT 是一種開源遠端管理工具 (RAT)，以其輕量級特性和一系列惡意功能而聞名。 

根據 Uptycs 安全研究員 Tejaswini Sandapolla 週五釋出的一份報告，該基於 C# 的工具（也稱為 CinaRAT 或 Yggdrasil）被發現採用了一種名為 DLL 側面載入的複雜技術，該技術利用受信任的 Microsoft 檔案來執行惡意活動。

該技術利用了 Windows 環境中這些檔案命令的固有信任，使其成為網路安全領域的重大威脅。據報道，QuasarRAT 已在 GitHub 上公開訪問，這給 Windows 使用者、系統管理員和網路安全專業人員帶來了風險。

桑達波拉寫道：“此類策略並不新鮮，但看到它們不斷發展並被其他惡意軟體菌株採用，表明了威脅行為者的適應性。” 事實上，攻擊者利用特定的受信任的 Microsoft 檔案來執行此攻擊。 

在初始階段，QuasarRAT 使用真實的“ctfmon.exe”載入惡意 DLL，謹慎地掩飾其意圖。此操作為攻擊者獲取“第一階段”有效負載奠定了基礎，充當後續惡意活動的閘道器。然後，第一階段有效負載發揮雙重作用，將合法的“calc.exe”檔案和惡意 DLL 釋放到系統中。 

攻擊者利用“calc.exe”，在這種情況下，它不僅僅是一個簡單的計算器應用程式。執行時，它會觸發惡意 DLL，導致“QuasarRAT”有效負載滲透到計算機記憶體中。 

最後，在計算機記憶體中，有效負載利用“程序空洞”將自身嵌入到合法的系統程序中，進一步隱藏其惡意意圖並使檢測變得複雜。

為了防範 QuasarRAT 及其新功能，Uptycs 強調了維護最新軟體和保持警惕的電子信箱實踐、實施高階安全解決方案和培訓個人識別可疑活動的重要性。還強調與網路安全專家的合作以及行業內的資訊共享，以隨時瞭解不斷變化的威脅。