Больше материалов: Boosty

и выполнение кода. Он также позволяет выполнять кражу

учётные данные, используемые для входа в учётные записи
социальных сетей, в частности Telegram и Discord.
По состоянию на 2023 год DCRat был дополнен
несколькими новыми возможностями:
• Модуль CryptoStealer: модуль позволяет получить
доступ к крипто-кошелькам пользователей
• Динамическое выполнение кода: DCRat может
выполнять код на нескольких языках
программирования
• Крипто-майнинг: были задокументированы
случаи, когда DCRat развёртывал программное
обеспечение для крипто-майнинга на
подконтрольных устройствах
• Способы доставки: DCRat распространяется с
помощью заманчивых приманок на тему контента
для взрослых, заражённых файлов и в т.ч. путём
распространения по сети
• Методы предотвращения обнаружения: DCRat
избегает изолированных сред, которые имитируют
интернет-соединения для анализа вредоносных
I. ВВЕДЕНИЕ программ
DCRat (Dark Crystal Rat) является бэкдором
• Закрепление: DCRat использует уязвимость
коммерческого типа, который продаётся преимущественно
нулевого дня в диагностическом средстве
на подпольных форумах. Он существует с 2018 года и
поддержки Microsoft (MSDT), CVE-2022–30190
работает как модульный троянец удалённого доступа
(Follina), для закрепления на заражённом
(RAT), предлагаемый как вредоносное ПО как услуга
компьютере
(MaaS). Вредоносная программа предназначена для
предоставления несанкционированного доступа к системам По состоянию на 2023 год DCRat имеет следующие
в обход мер безопасности. ключевые функции (полный список):
Что касается цен, DCRat продаётся примерно за 7 • Кража информации
долларов за двухмесячную подписку. Лицензия на один
месяц стоит всего 5 долларов, в то время как пожизненное • Мониторинг и контроль
использование лицензии стоит 40 долларов. • Деструктивные атаки
В 2022 году разработчик из DCRat объявил на своей • Модульность и индивидуальная настройка
странице в GitHub, что выпуск будет прекращён, а также
дал ссылку на его преемника и заявил, что новый исходный • Взаимодействие с системой
код останется закрытым и не будет продаваться.
• Администрирование и контроль
II. ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ DCRAT • Развёртывание и распространение
DCRat – модульный вредоносный код с функцией
удалённого доступа (RAT) с рядом функций, которые • Скрытность и предотвращение обнаружения
делают его универсальным инструментом. A. Кража информации
Сам продукт DCRat состоит из трех компонентов: • Кража данных: DCRat может красть
исполняемого файла stealer / client, отдельной PHP- конфиденциальные данные из систем-жертв,
страницы, служащей конечной точкой / интерфейсом C2, и включая создание скриншотов, сбор данных из
инструмента администратора. Он использует модульную буфера обмена
структуру, которая развёртывает отдельные исполняемые
файлы для каждого модуля, большинство из которых • Кейлоггинг: он может регистрировать нажатия
представляют собой скомпилированные двоичные файлы клавиш для сбора конфиденциальной информации,
.net, запрограммированные на C #. такой как пароли

DCRat может использоваться весьма широко, включая • Кража данных браузера: DCRat может извлекать
мониторинг, разведку, кражу информации, проведение файлы cookie сеанса, учётные данные для
распределённых атак типа "Отказ в обслуживании" (DDoS) автоматического заполнения, личную информацию
и данные кредитной карты из браузеров
 Больше материалов: Boosty
• Сбор данных из буфера обмена: может копировать G. Развёртывание и распространение
и красть содержимое буфера обмена пользователя • Вредоносное ПО как услуга (MaaS): DCRat
• Кража учётных данных: может красть учётные работает как MaaS, позволяя приобретать его и
данные из популярных FTP-приложений и учётных использовать различным потребителям
записей в социальных сетях, особенно для Telegram • Недорогие лицензии: двухмесячная подписка
и Discord стоит примерно 7 долларов, для более длительного
B. Мониторинг и контроль использования доступны другие варианты
ценообразования
• Скриншоты: может делать скриншоты для
мониторинга активности пользователя H. Скрытность и предотвращения обнаружения
• Сбор системной информации: DCRat собирает • Маскировка: DCRat использует методы, сокрытия
системную информацию, такую как статистика своего присутствия и маскировку сетевого трафика
процессора и графических процессоров, имя хоста, • Функции защиты от обнаружения: плагины могут
имена пользователей, языковые настройки и препятствовать запуску на виртуальной машине,
установленные приложения отключать защитника Windows и подсветку веб-
C. Возможности деструктивных атак камер на определённых моделях
• DDoS-атаки: DCRat может запускать DDoS-атаки в • Механизмы закрепления: Он может использовать
отношении выбранных целей такие методы, как создание запланированных задач,
ключи запуска реестра и Winlogon автозапуск
• Динамическое выполнение кода: предоставляет разделов реестра, чтобы закрепиться в системе
возможность динамического выполнения кода на
нескольких языках программирования III. РАЗВЁРТЫВАНИЕDCRAT
D. Модульность и индивидуальная настройка DCRat работает как вредоносное ПО как услуга (MaaS).
• Модульная архитектура: DCRat использует DCRat развёртывается с помощью атак, использующих
модульную структуру, развёртывая отдельные широкий спектр тактик, включая вредоносный спам,
исполняемые файлы для каждого модуля, фишинг и пиратское (или “взломанное”) коммерческое
большинство из которых представляют собой программное обеспечение (мошеннические программы
скомпилированные двоичные файлы .NET, обновления и антивирусные продукты).
запрограммированные на C # После установки администрация DCRat C2 позволяет
злоумышленникам загружать модули на заражённый хост,
• Платформа для плагинов: у него есть платформа
удалённо выполнять команды и извлекать данные. DCRat
для разработки плагинов, которая позволяет
использует модульную платформу, которая развёртывает
создавать новые модули, расширяя его возможности
отдельные исполняемые файлы для каждого модуля,
E. Системное взаимодействие большинство из которых представляют собой
• Закрепление: DCRat может закрепляться на скомпилированные двоичные файлы .net,
скомпрометированных хостах с использованием запрограммированные на C#. Вредоносная программа
таких методов, как создание запланированных способна красть информацию из браузеров, такую как
задач, ключей запуска реестра и ключей автозапуска сеансовые файлы cookie, учётные данные для
Winlogon Registry Keys автоматического заполнения, личную информацию и
данные кредитной карты. Он также может отслеживать
• Крипто-майнинг: были случаи, когда DCRat заражённый хост, регистрируя и эксфильтрируя нажатия
развёртывал программное обеспечение для крипто- клавиш и снимки экрана.
майнинга на конечных точках жертв
DCRat устанавливает соединение между устройством
F. Администрирование и контроль жертвы и устройством злоумышленника через командно-
• Администрирование C2: вредоносная программа контрольный сервер (C2). Как только вредоносная
включает интерфейс администрирования программа устанавливается на устройство жертвы, она
командования и контроля (C2), который позволяет снова подключается к серверу C2, контролируемому
злоумышленникам загружать модули, выполнять злоумышленником. Этот сервер может отправлять команды
команды удалённо и извлекать данные на скомпрометированное устройство, позволяя
злоумышленнику получать доступ к данным и изменять их,
• Исполняемый файл Stealer / Client: Он состоит из красть конфиденциальную информацию и обеспечивать
исполняемого файла .NET, предназначенного для закрепление путём повторного подключения к серверу C2
использования систем Windows даже после перезагрузки или попыток удалить вредоносное
ПО.
Наиболее распространённые «приманки» DCRat:
 Больше материалов: Boosty
• Контент для взрослых в т.ч. поддельный: DCRat DCRat отличается от других RAT решений и способен
распространяется с использованием приманок, явно функционировать как загрузчик, удаляя другие типы
относящихся к страницам OnlyFans и другому вредоносных программ на заражённый компьютер. DCRat
контенту для взрослых. Жертв обманом заставляют использует три различных метода сохранения данных на
загружать вредоносные файлы, часто ZIP-архивы, скомпрометированном хосте: создание запланированной
которые содержат вредоносное ПО задачи, создание раздела запуска реестра и создание раздела
реестра автозапуска. Он также использует команду W32tm
• Фишинг и вредоносный спам: DCRat также “stripchart” в качестве тактики задержки для её выполнения
распространяется через фишинговые электронные и управления события, что не характерно для других RATS.
письма и кампании вредоносного ПО, когда жертвы
получают электронные письма с вредоносными С точки зрения эффективности, DCRat удивительно
вложениями или ссылками, которые при открытии эффективен, несмотря на свою низкую стоимость.
устанавливают вредоносное ПО Вредоносная программа находится в активной разработке,
новые возможности добавляются регулярно. Он также
• Распространение по сети: вредоносное ПО может способен предотвращения обнаружения программным
распространяться по сети, используя уязвимости обеспечением безопасности, что делает его мощной угрозой
или другие методы для заражения нескольких кибербезопасности.
устройств
Наиболее распространённые функции других троянов
IV. ПРЕДОТВРАЩЕНИЕ ОБНАРУЖЕНИЯ удалённого доступа включают способность устанавливать
Злоумышленники, использующие DCRat, используют полный или частичный контроль над заражёнными
несколько методов, чтобы избежать обнаружения: компьютерами, возможность запускать дочерний процесс и
использование планировщика задач для обеспечения
• Проникновение в процесс: DCRat редко приводит закрепления в скомпрометированной системе. Они также
к вредоносной активности в текущем процессе. могут передавать конфиденциальную информацию,
Вместо этого он предпочитает создавать большие устанавливая соединения с серверами командования и
деревья процессов и внедрять безвредный процесс в управления (C2). Некоторые RAT-решения, такие как
какой-то момент njRAT на базе.NET framework и позволяют хакерам
удаленно управлять устройством жертвы, предоставляя им
• Закрепление в системе: DCRat способует доступ к веб-камере, нажатиям клавиш и паролям,
закреплению в системе через копирования себя в хранящимся в веб-браузерах и настольных приложениях.
случайно запущенный процесс и в корневой
каталог. Он также может создавать ярлыки для этих VI. ОБНАРУЖЕНИЕ DCRAT
копий в папке автозагрузки и реестре пользователя
A. Общие характеристики IoC
• Задержка выполнения: DCRat может задерживать
Наиболее распространённые индикаторы
выполнение на некоторое время после заражения,
компрометации (IoC) для DCRat attacks связаны со
чтобы избежать немедленного обнаружения
следующими характеристиками:
• Обфускация: полезная нагрузка DCRat была
• Мониторинг заражённого хоста путём
защищена с помощью Enigma Protector, чтобы
протоколирования и эксфильтрации нажатий
усложнить анализ кода
клавиш и скриншотов, которые можно использовать
• Использование сертификатов SSL / TLS: DCRat, для отслеживания их активности
как и многие другие семейства вредоносных
• Кража информации из браузеров, например
программ, использует самоподписанные
сеансовые файлы cookie, учётные данные для
сертификаты SSL / TLS, которые могут помочь ему
автозаполнения, личная информация и данные
«сливаться с обычным зашифрованным трафиком»
кредитной карты, и популярных FTP-приложений
V. ОТНОСИТЕЛЬНАЯ ЭФФЕКТИВНОСТЬ • Возможность записывать нажатия клавиш жертвой,
DCRat известен своей экономичностью, которые могут быть использованы для кражи
универсальностью и регулярными обновлениями, что паролей и другой конфиденциальной информации
делает его серьёзной угрозой. DCRat позволяет получить
контроль над заражённым компьютером и украсть • Возможность сбора информации о системе
конфиденциальную информацию, такую как содержимое (статистика процессора и графических процессоров
буфера обмена и личные учётные данные, из приложений. и т.д.)
DCRat разрабатывается и поддерживается одним B. Особенностисети IoC
пользователем, который активно продвигает свой продукт Наиболее распространённые IoC для DCRat связаны с:
на нескольких подпольных форумах, а также на канале
Telegram. Это не похоже на большинство других RATS, • Сетевой трафик: DCRat взаимодействует со
которые обычно являются работой сложных и хорошо своим сервером управления (C2) для фильтрации
обеспеченных киберпреступных групп. данных и приёма команд. Это сообщение может
быть обнаружено как необычный сетевой трафик
 Больше материалов: Boosty
• Сбор данных: DCRat собирает конфиденциальную предотвратить анализ. Вредоносная программа состоит из
информацию со скомпрометированных хостов, нескольких компонентов, каждый из которых отвечает за
такую как тип сервера, имя пользователя и определённый тип вредоносной активности. Авторы DCRat
сведения о графическом процессоре, которые опубликовали специальное программное обеспечение под
могут быть обнаружены путём мониторинга названием DCRat Studio, которое служит инструментом для
необычного доступа к данным или перемещения разработки новых модулей для вредоносного ПО.
• Механизмы закрепления: DCRat использует В некоторых наблюдаемых атаках было замечено, что
несколько методов закрепления, включая создание вредоносная программа создаёт экземпляр процесса
запланированной задачи, создание раздела запуска svchost.exe и внедряет код, используя методы удаления
реестра и создание раздела реестра автозапуска. содержимого из процесса. Другие имена файлов,
Эти записи могут быть обнаружены путём ассоциированные с атаками DCRat, включают
мониторинга изменений в запланированных 8c8bc051a42578631ab04380a0daef57e67abd8cf1a272e75213
задачах, реестре и процессах запуска 285929a74c5e.exe и 0xNax.exe.
• DDoS-атаки: DCRat может организовывать DDoS- D. Информация о криптовалютном кошельке
атаки против целевых веб-сайтов. Это может быть DCRat способен красть широкий спектр
обнаружено путём мониторинга необычных схем конфиденциальной информации, включая информацию о
сетевого трафика или увеличения запросов к криптовалютном кошельке. Отдельный модуль
определённому веб-сайту вредоносного ПО CryptoStealer позволяет
злоумышленникам получать доступ к крипто-кошелькам
• Динамическое выполнение кода: DCRat имеет
пользователей. Это могут быть закрытые ключи,
возможность выполнять код на нескольких языках
необходимые для доступа к кошелькам и контроля над
программирования. Это может быть обнаружено
ними, а также история транзакций и информация о балансе.
путём мониторинга необычного выполнения кода
или поведения процесса E. Скриншоты, которые может сделатьDCRat
• Кража информации: DCRat может облегчить DCRat имеет возможность делать скриншоты
кражу конфиденциальных данных с устройств компьютера жертвы. Это может быть использовано для
жертв, включая создание скриншотов и сбор мониторинга их активности, включая веб-сайты, которые
учётных данных. Это может быть обнаружено они посещают, приложения, которые они используют, и
путём мониторинга необычного доступа к данным информацию, которую они вводят в эти приложения. Это
может включать конфиденциальную информацию, такую
• Крипто-майнинг: были задокументированы как учётные данные для входа в систему, данные кредитной
случаи, когда DCRat развёртывал программное карты и другую личную информацию. Вредоносная
обеспечение для крипто-майнинга на конечных программа может запустить поток, чтобы начать делать
точках жертв. Это можно обнаружить путём скриншоты с компьютера жертвы и сохранять их в формате
мониторинга необычной загрузки процессора или JPEG, затем загружать файлы на C2
сетевого трафика
C. Имена файлов и процессов, связанных с атаками
DCRat
Полезная нагрузка DCRat часто защищена с помощью
Enigma Protector, чтобы скрыть её содержимое и