行业新闻与博客

Uptycs 最近的一份研究报告重点介绍了 QuasarRAT 的演变，QuasarRAT 是一种开源远程管理工具 (RAT)，以其轻量级特性和一系列恶意功能而闻名。 

根据 Uptycs 安全研究员 Tejaswini Sandapolla 周五发布的一份报告，该基于 C# 的工具（也称为 CinaRAT 或 Yggdrasil）被发现采用了一种名为 DLL 侧面加载的复杂技术，该技术利用受信任的 Microsoft 文件来执行恶意活动。

该技术利用了 Windows 环境中这些文件命令的固有信任，使其成为网络安全领域的重大威胁。据报道，QuasarRAT 已在 GitHub 上公开访问，这给 Windows 用户、系统管理员和网络安全专业人员带来了风险。

桑达波拉写道：“此类策略并不新鲜，但看到它们不断发展并被其他恶意软件菌株采用，表明了威胁行为者的适应性。” 事实上，攻击者利用特定的受信任的 Microsoft 文件来执行此攻击。 

在初始阶段，QuasarRAT 使用真实的“ctfmon.exe”加载恶意 DLL，谨慎地掩饰其意图。此操作为攻击者获取“第一阶段”有效负载奠定了基础，充当后续恶意活动的网关。然后，第一阶段有效负载发挥双重作用，将合法的“calc.exe”文件和恶意 DLL 释放到系统中。 

攻击者利用“calc.exe”，在这种情况下，它不仅仅是一个简单的计算器应用程序。执行时，它会触发恶意 DLL，导致“QuasarRAT”有效负载渗透到计算机内存中。 

最后，在计算机内存中，有效负载利用“进程空洞”将自身嵌入到合法的系统进程中，进一步隐藏其恶意意图并使检测变得复杂。

为了防范 QuasarRAT 及其新功能，Uptycs 强调了维护最新软件和保持警惕的电子邮件实践、实施高级安全解决方案和培训个人识别可疑活动的重要性。还强调与网络安全专家的合作以及行业内的信息共享，以随时了解不断变化的威胁。