Что такое backdoor программы
Что такое Backdoor и какой вред он может нанести?
Backdoor — это метод, используемый для обхода требований аутентификации или шифрования и создания секретного доступа к компьютеру с целью управления устройством без ведома пользователя. Иногда бэкдоры могут быть установлены добровольно для предоставления доступа удаленным пользователям. Однако, когда этот термин применяется к вредоносному ПО, это означает, что хакеры используют его для доступа к функциям компьютера в скрытом виде, например, в фоновом режиме. Бэкдорные вирусы действительно представляют собой комбинацию различных угроз безопасности, некоторые из которых могут управляться удаленно.
Как распространяются Backdoor?
Бэкдоры часто внедряются в системы благодаря другим вредоносным программам, таким как трояны, вирусы или с помощью шпионских программ. Им удается получить доступ без ведома администраторов, а затем заразить сеансы всех пользователей скомпрометированной сети. Некоторые угрозы внедряются пользователями с привилегиями, чтобы получить доступ позднее.
Бэкдоры также интегрируются в определенные приложения. Иногда легитимные программы могут иметь уязвимости и разрешают удаленный доступ. В таких случаях злоумышленникам по-прежнему необходимы некоторые средства связи со взломанным компьютером для получения несанкционированного доступа к системе.
Пользователи сами могут непреднамеренно устанавливать на свои компьютеры бэкдоры. Такой вирус обычно прикрепляется к файлообменным приложениям или электронной почте. Методы scareware и вирусы-вымогатели при этом не применяются.
Некоторые бэкдоры используют определенные уязвимости в удаленных системах, либо на компьютерах, либо в сети.
Какой вред могут нанести Backdoor?
Вирусы, которые проникают через бэкдоры, часто имеют возможность делать скриншоты, вести запись в журналах регистрации ключей или заражать и шифровать файлы. Бэкдор помогает злоумышленнику создавать, переименовывать, удалять, а также редактировать документы или копировать абсолютно любой файл, выполнять простые и сложные команды, изменять системные настройки, удалять записи реестра Windows, без проблем запускать, контролировать и завершать работу приложений или устанавливать новые вредоносные программы.
Аналогичным образом, они могут позволить злоумышленникам взять под контроль аппаратные устройства, изменить соответствующие настройки, перезагрузить или выключить компьютер без разрешения и украсть конфиденциальные данные, пароли, данные для входа в систему, личную информацию и другие важные документы.
Бэкдорные атаки приносят прибыли от записей перемещений пользователей в интернете, заражения файлов, повреждения системы и порчи приложений.
Примеры атак Backdoor
Одним из таких примеров являются Sticky Attacks. В этом случае, злоумышленники используют «атаку грубой силы» на сервер с включенным протоколом удаленного рабочего стола (RDP) и могут получить учетные данные для доступа к компьютеру. Затем киберпреступники используют скрипты и инструменты операционной системы, чтобы остаться незамеченными и установить простой бэкдор.
Даже если жертвы понимают, что были скомпрометированы и меняют пароли, злоумышленники тогда применяют Sticky Keys для доступа к компьютеру без необходимости повторно вводить учетные данные.
Еще одним примером является DoublePulsar, инструмент для внедрения бэкдоров, который часто используется хакерскими группами. Он может заразить сразу несколько тысяч компьютеров под управлением Microsoft Windows всего за несколько дней и активно используется для атак с 2017 года.
Backdoor
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Поиск
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель – сделать цифровой мир безопасным для всех.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Связаться с нами
Наша главная цель – обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
Бэкдоры (backdoors)
Бэкдорами (backdoors) называют одну из разновидностей вредоносных программ, а также утилиты скрытого доступа к компьютеру, специально созданные разработчиками какого-либо программного обеспечения для выполнения несанкционированных или недокументированных действий. Термин произошел от англоязычного словосочетания back door, которое переводится как «задняя дверь» или «черный ход». С точки зрения традиций русской орфографии уместнее писать «бекдор» (так же, как «хеш» или «тег» вместо «хэш», «тэг»), но такой вариант пока не приобрел большого распространения.
Получив доступ к системе, злоумышленник устанавливает бэкдоры для повторного или резервного подключения к ней с целью реализации задуманного.
Бэкдоры выполняют две основные функции: оперативное получение доступа к данным и удаленное управление компьютером. Их умения обширны. Backdoor позволяет злоумышленнику делать на компьютере жертвы то же, что и владелец, только удаленно. Например, появляется возможность копировать или загружать файлы, внедрять вредоносные и нежелательные программы, считывать личные данные, перезагружать компьютер, делать скриншоты и т.д. Бэкдоры помогают преступникам взламывать сети, проводить атаки с зараженного компьютера.
Бэкдор трудно обнаружить в системе, он может никак не проявлять себя, поэтому пользователь часто не догадывается о его присутствии. Впрочем, даже если бэкдор удастся выявить, пользователь не сможет определить, кто его внедрил и какая информация похищена. При обнаружении «тайного хода» в легитимной программе разработчик может скрыть свои намерения, легко выдав его за случайную ошибку.
Бэкдоры (backdoors) имеют много общего со средствами удаленного администрирования и троянскими программами. Они работают по схожему принципу, но имеют более опасные и сложные нагрузки. Из-за этого их и выделили в отдельную категорию.
Классификация бэкдоров
Бэкдоры можно классифицировать по месту встраивания. С этой точки зрения они бывают программными и аппаратными.
Вредоносные объекты аппаратного типа, называемые также аппаратными имплантами, могут быть внедрены непосредственными изготовителями оборудования на одном из производственных этапов. Такие бэкдоры не исчезают при замене или обновлении ПО, не обнаруживаются при сканировании кода, при проверке антивирусной программой.
Бэкдоры программного типа могут также попасть в систему от компании-изготовителя (программные импланты), но чаще это происходит при прямом участии пользователя. Владелец ПК может неосознанно установить их из прикрепленного к письму файла или вместе с загружаемыми данными из файлообменника. Угрозу маскируют с помощью внушающих доверие названий и текстов, которые побуждают жертву открыть и запустить зараженный объект. Кроме того, программные бэкдоры могут быть установлены в компьютер вручную или другими вредоносными программами, опять же незаметно для владельца устройства.
Существуют бэкдоры, интегрированные в определенные программы и приложения. Файл связывается с компьютерным устройством через инсталляцию такого приложения и получает мгновенный доступ к системе либо контролирует эту программу. Часть бэкдоров проникает в вычислительные машины, используя уязвимости. Подобно червям, эти вредоносные образцы тайно распространяются по всей информационной системе; при этом нет ни предупреждений, ни диалоговых окон, вызывающих подозрение пользователя.
Попав в систему, бэкдоры передают злоумышленнику желаемые данные, а также предоставляют возможность управлять машиной. Такое взаимодействие может происходить тремя способами:
Если говорить о функциональности, то с этой точки зрения бэкдоры весьма разнообразны. Например, FinSpy помогает киберпреступнику загружать и запускать любые файлы, взятые из интернета. Программа Tixanbot дает злоумышленнику полный доступ к машине, разрешая осуществлять любые операции. Бэкдор Briba нарушает стабильность работы и конфиденциальность системы, создает точку скрытого удаленного доступа, который можно применять для внедрения других вредоносных программ.
Объект воздействия
Объекты внедрения бэкдоров — такие же, как и у других вредоносных программ. Злоумышленникам интересны компьютеры рядовых пользователей, коммерческих структур, государственных учреждений, предприятий и т.п. Бэкдоры (backdoors) трудно обнаруживаются, они могут присутствовать в системе месяцы и годы, позволяя наблюдать за пользователем, красть его данные, выполнять с его компьютера преступные действия, воровать конфиденциальные сведения, загружать и распространять спам и вредоносные программы.
Получив доступ к системе, злоумышленник может полностью изучить личность пользователя и использовать эту информацию в корыстных или преступных целях. С компьютеров могут быть похищены секретные документы, ноу-хау, объекты коммерческой тайны, которые будут использованы для выгоды другой (своей) компании или для продажи. Такая же ситуация складывается с базами данных, банковскими счетами, телефонами, электронными адресами и прочей полезной и ликвидной на черном рынке информацией.
Бэкдоры страшны и своей разрушительной силой. После выполнения задачи или в случае, когда не получилось извлечь что-то ценное из компьютера жертвы, киберпреступник может удалить все файлы, полностью отформатировать жесткие диски.
Источник угрозы
Откуда может прийти угроза? Бэкдор должен каким-то способом попасть на целевую машину. Как говорилось выше, в ряде случаев он загружается владельцем компьютера вместе с каким-либо файлом. Некоторые вредоносные объекты могут быть интегрированными в программу или приложение, проникать в систему при их установке и активироваться при запуске.
От кого может исходить угроза? От лиц, имеющих непосредственный доступ к компьютеру. Возможны и неосторожные действия, ведущие к заражению, и преднамеренное внедрение вредоносной программы. Также источником угрозы являются хулиганы, запускающие бэкдоры с целью развлечения, мошенники, желающие получить персональные данные, и другие типы злоумышленников.
Случается, что программисты специально оставляют бэкдоры в ПО для осуществления диагностики и последующего устранения недочетов. Но в большинстве случаев «лазейку» в компьютерную систему ищут киберпреступники, имея конкретные цели, ведущие к собственной выгоде или материальному обогащению.
Анализ риска
Практически все компьютеры могут стать жертвой киберпреступников. С каждым днем появляются новые бэкдоры, позволяющие злоумышленникам контролировать систему, нарушать ее работу, управлять разными процессами. Например, в 2017 году была обнаружена новая угроза под названием Proton. Этот инструмент может дать преступнику контроль над вычислительной машиной в полном объеме, позволит выполнять ряд других операций, о которых подробнее говорится в статье «Новый вредонос под macOS использует уязвимость нулевого дня».
Защитить свой компьютер от проникновения вредоносных объектов можно, если использовать сетевой экран, анализировать подозрительную активность, проводить аудит системы. Необходимо обновлять операционную систему и ПО, пользоваться антивирусными программами от известных разработчиков, проверять компьютер на вирусы дополнительными утилитами.
С чёрного входа: смысл термина Backdoor
В английском языке бэкдор (Backdoor — чёрный вход, задняя дверь) термин очень, так сказать, выразительный, неплохо описывающий возможные последствия эксплуатации данного типа угроз. Он, однако, не даёт сколько-нибудь очевидного объяснения,
В английском языке бэкдор (Backdoor — чёрный вход, задняя дверь) термин очень, так сказать, выразительный, неплохо описывающий возможные последствия эксплуатации данного типа угроз. Он, однако, не даёт сколько-нибудь очевидного объяснения, что такое бэкдор с технической точки зрения. Что ж, мы попытаемся разъяснить. Во-первых, бэкдор — это прежде всего метод, а не конкретная вредоносная программа. Из бюллетеней по безопасности складывается впечатление, что это просто один из типов зловредов: «Этот троянец устанавливает бэкдор…». Но по существу — это именно метод обхода надлежащей авторизации, который позволяет получать скрытый удалённый доступ к компьютеру. «Скрыты» не означает «необнаружимый», хотя, конечно, преступники предпочли бы, чтобы это было именно так.
Бэкдоры нужны для незаметного проникновения.
История бэкдоров начинается где-то в конце 1960-х, когда, согласно Wikipedia, широко распространились многопользовательские системы, связанные в сети. В исследовательской работе, опубликованной в протоколах конференции AIPS в 1967 году, упоминается угроза, получившая название «люк» (trapdoor), описывающая «точки проникновения» в ПО, которые позволяли обходить надлежащую авторизацию; сегодня для описания этой угрозы используется термин «бэкдор».
Примеры бэкдоров встречаются и в популярной культуре. Например, в фильме 1983 года WarGames («Военные игры«) разработчик военного суперкомпьютера WORP вписал в код пароль (имя своего умершего сына), который обеспечивал пользователю доступ к системе и её незадокументированным функциям (в частности, симуляции, похожей на видеоигру, и прямой доступ к искусственному интеллекту).
Ранее мы уже упоминали о телесериале «В поле зрения», где речь идёт об искусственном интеллекте — «Машине», чьи создатели обеспечили себе доступ через «бэкдор», чтоб получать информацию о людях, которым угрожает опасность — и это отправная точка всего сюжета.
«Установить бэкдор» означает, как правило, не установку собственно вредоносного ПО, но, скорее, внесение изменений в легитимный программный пакет с целью как минимум частичного обхода средств защиты и обеспечения скрытого доступа к интересующим злоумышленников данным. Возможно, это прозвучит странно, но «дефолтные» пароли к программам и устройствам сами по себе могут представлять бэкдоры. Особенно, если их не сменить. Как бы там ни было, существуют и зловреды, именуемые бэкдорами и троянцами-бэкдорами: это програмные модули, обеспечивающие их операторам несанкционированный доступ в заражённую систему с вероятной целью вывода информации на регулярной основе либо же превращения этой системы в часть ботнета, который будет распространять спам в огромных количествах или использоваться для DDoS-атак.
Бэкдоры также позволяют творить всё что угодно на инфицированных компьютерах: отправлять и принимать файлы, запускать их или удалять, выводить сообщения, стирать данные, перезагружать систему, и т.д.
Многие компьютерные черви прошлого (Sobig, Mydoom и другие) устанавливали бэкдоры на заражённые ими компьютеры. Аналогично, многие сегодняшние троянцы обладают такими же функциями. Бэкдор-троянцы, на самом деле, вообще самый распространённый тип троянцев. И
менно бэкдоры, позволяющие выводить данные из заражённых машин, являются ключевой функциональностью крупномасштабных APT, таких как Flame и Miniduke, обнаруженных «Лабораторией Касперского».
Бэкдоры устанавливаются там, где защита «легко рвётся».
Бэкдоры (троянцы), как правило, устанавливают на скомпрометированных системах те или иные серверные компоненты. Те открывают определённые порты или сервисы, обеспечивая атакующим возможность входа при посредстве клиентского ПО бэкдора. Таким образом, компьютер — или программный пакет — оказывается под контролем злоумышленника без ведома пользователя.
Данная проблема затрагивает не только персональные компьютеры и локальный софт. Простой PHP-скрипт позволяет создавать в системе управления контентом WordPress администраторские аккаунты; троянцам-бэкдорам под мобильную ОС Android так и вообще нет счёту. Как с ними бороться? — С помощью ПО для защиты информации и базовой информационной гигиены. Большая часть вредоносного ПО требует как минимум некоторой степени кооперации со стороны пользователя. Другими словами, злоумышленникам требуется обманом заставить юзеров установить троянцы самостоятельно — и для этого используется социальная инженерия и прочие способы усыпления бдительности.
Без шума и пыли: разбор RAT-троянов на базе Remote Utilities
В ноябре 2020 года вирусная лаборатория «Доктор Веб» зафиксировала рассылку фишинговых писем корпоративным пользователям. Злоумышленники попытались применить классический метод социальной инженерии, чтобы заставить потенциальных жертв открыть вложения. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. При неблагоприятном стечении обстоятельств, компьютеры сотрудников были бы доступны для удаленного управления без каких-либо визуальных признаков работы программы. В статье мы рассмотрим механизмы распространения и заражения используемых RAT-троянов.
Сценарий атаки
Обнаруженные нами образцы можно разделить на 2 группы.
Пример письма с вредоносным вложением, использующим DLL Hijacking:
В приложенном архиве находится защищенный RAR-архив и текстовый файл с паролем.
В целях конфиденциальности отправляемого вложения установлен автоматический пароль: 02112020.
В архиве находится дроппер в виде самораспаковывающегося RAR’а, внутри которого лежит сам BackDoor.RMS.180.
Ниже приведен пример письма с вложением, использующим MSI-пакет.
Помимо архива с вредоносной нагрузкой (BackDoor.RMS.181) и файла с паролем здесь находятся документы-пустышки.
В связи с корпоративной политикой безопасности данное вложение защищено кодом доступа: 12112020.
В ходе исследования мы также обнаружили образец фишингового письма, содержащего ссылку на дроппер, который запускает установку утилиты Remote Utilities из настроенного MSI-пакета (детектируется Dr.Web как BackDoor.RMS.187). Здесь задействован несколько иной механизм распространения полезной нагрузки.
«CV_resume.rar» является ссылкой на взломанный сайт, откуда происходит редирект на другой ресурс для загрузки вредоносного архива с BackDoor.RMS.187.
Анализ сетевой инфраструктуры, используемой злоумышленниками для распространения BackDoor.RMS.187, позволил найти еще несколько скомпрометированных сайтов, а также образец трояна Trojan.Gidra. По нашим данным, Trojan.GidraNET.1 использовался для первичного заражения системы при помощи фишингового письма с последующей загрузкой бэкдора, который скрыто устанавливал Remote Utilties.
Подробный разбор алгоритмов работы обнаруженного ПО читайте в вирусной библиотеке на нашем сайте. Ниже мы кратко рассмотрим эти вредоносные программы.
BackDoor.RMS.180
Троян-бэкдор, написанный с использованием компонентов программы Remote Utilities. Основной вредоносный модуль загружается посредством DLL Hijacking.
Самораспаковывающийся архив запускается скриптом:
Состав самораспаковывающегося дроппера:
Функции, отсутствующие в оригинальном модуле winspool.drv и не несущие функциональной нагрузки:
Экспорты с реальными именами содержат переходы к загружаемым в дальнейшем оригинальным функциям из легитимной библиотеки.
Некоторые API-функции выполняются через указатели на функции-переходники:
Затем бэкдор проверяет, в контексте какого исполняемого файла он работает. Для этого проверяет значение IMAGE_NT_HEADERS.OptionalHeader.CheckSum основного исполняемого модуля:
Когда запущен UniPrint.exe, бэкдор переходит к выполнению основных функций. Проверяет, имеет ли пользователь права доступа администратора. Затем устанавливает права доступа на директорию с модулем:
После этого записывает параметры General и Security в ключ реестра HKCU\SOFTWARE\WDMPrint и подготавливает значение параметра InternetID с помощью форматной строки.
Затем бэкдор создает скрытые окна MDICLIENT и RMSHDNLT:
Далее приступает к перехвату API-функций. Для этого использует библиотеку MinHook.
Подробная таблица с описанием перехватываемых функций находится на странице BackDoor.RMS.180 на нашем сайте.
Сетевая активность бэкдора реализована следующим образом. Вначале по дескриптору окна TEdit с помощью функции GetWindowTextA бэкдор получает InternetID, необходимый для удаленного подключения. Затем формирует GET-запрос вида:
Затем создает TCP-сокет. Проверяет значение глобальной переменной, в которой хранится порт для подключения с использованием протокола SSL (в рассматриваемом образце равен нулю). Если порт не равен нулю, то соединение выполняется по SSL посредством функций библиотеки SSLEAY32.dll. Если порт не задан, бэкдор подключается через порт 80.
Далее отправляет сформированный запрос. Если ответ получен, то ожидает в течение минуты и повторно отправляет запрос с InternetID. Если ответа нет, то повторяет запрос через 2 секунды. Отправка происходит в бесконечном цикле.
BackDoor.RMS.181
Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами удаленного управления, созданный с помощью MSI-конфигуратора из состава Remote Utilities Viewer. Распространялся в составе самораспаковывающегося 7z-дроппера (52c3841141d0fe291d8ae336012efe5766ec5616).
После распаковки дроппер запускает файл installer.exe, который, в свою очередь, запускает установку заранее настроенного MSI-пакета. Установщик извлекает и скрыто устанавливает Remote Utilities. После установки отправляет сигнал на управляющий сервер.
MSI-пакет содержит все необходимые параметры для тихой установки Remote Utilities. Установка выполняется в Program Files\Remote Utilities — Host в соответствии с таблицей Directory.
В соответствии с таблицей CustomAction установщик msiexec.exe запускает основной компонент пакета Remote Utilities rutserv.exe с различными параметрами, которые обеспечивают тихую установку, добавление правил сетевого экрана и запуск службы.
Параметры и настройки подключения заносятся в ключ реестра HKLM\Remote Utilities\v4\Server\Parameters. Значения параметров содержатся в таблице Registry:
Параметр CallbackSettings содержит адрес сервера, на который отправляется InternetID для прямого подключения.
BackDoor.RMS.187
Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами для скрытой установки и запуска Remote Utilities. Распространялся в составе вредоносного RAR-архива посредством фишинговой рассылки.
Запускается при помощи дроппера, который хранит установочный архив в секции ресурсов под именем LOG. Дроппер сохраняет MSI-пакет в директорию %TEMP% под именем KB8438172.msi и затем запускает с помощью установщика msiexec.exe. В дроппере находится путь к исходнику — C:\Users\Kelevra\Desktop\Source\Project1.vbp.
Бэкдор сообщает о готовности к подключению, отправляя сообщение на адрес cerbe[@]protonmail[.]com.
Этот образец примечателен способом распространения. На электронную почту жертвы приходит фишинговое письмо со ссылкой, маскирующейся под нужное пользователю вложение.
Ссылка на загрузку вложения ведет по адресу http[:]//ateliemilano[.]ru/stat/amsweb.php?eTmt6lRmkrDeoEeQB6MOVIKq4BTmbNCaI6vj%2FvgYEbHFcfWecHRVZGMpkK%2BMqevriOYlq9CFe6NuQMfKPsSNIax3bNKkCaPPR0RA85HY4Bu%2B%2B6xw2oPITBvntn2dh0QCN9pV5fzq3T%2FnW270rsYkctA%2FwdvWH1bkEt2AdWnyEfaOwsKsSpyY3azVX0D%2BKOm5.
Затем с этого адреса происходит редирект на адрес https[:]//kiat[.]by/recruitment/CV_Ekaterina_A_B_resume.rar, по которому происходит загрузка вредоносного архива.
ateliemilano[.]ru и kiat[.]by — существующие сайты, при этом второй сайт принадлежит кадровому агентству. По нашим сведениям, они неоднократно использовались для загрузки троянов, а также для переадресации запросов на их загрузку.
Trojan.GidraNET.1
Исследованный образец трояна распространялся через скомпрометированные сайты. Он предназначен для сбора информации о системе с ее последующей передачей злоумышленникам по протоколу FTP, а также для загрузки вредоносного дроппера с MSI-пакетом для установки Remote Utilities.
Основная функциональность находится в методе readConfig, вызываемом из Form1_Load.
В начале своей работы собирает о системе следующую информацию:
Полученную информацию сохраняет в файл, затем делает снимок экрана.
Информацию о системе отправляет по протоколу FTP на сервер ateliemilano[.]ru.
В коде трояна зашиты логин и пароль от FTP-сервера. Для каждого зараженного компьютера создается отдельная директория.
После отправки информации загружает и запускает файл с другого скомпрометированного сервера.
Файлы, скачиваемые аналогичными образцами, представляют собой дропперы, написанные на Visual Basic, содержащие MSI-пакеты для скрытой установки Remote Utilities, такие как BackDoor.RMS.187.
В исследованном образце был найден путь к PDB-файлу: C:\Users\Kelevra\Desktop\Last Gidra + PrintScreen + Loader_ Main\Gidra\obj\Debug\Gidra.pdb. Имя пользователя Kelevra совпадает с именем пользователя в пути к файлу проекта в дроппере BackDoor.RMS.187: C:\Users\Kelevra\Desktop\Source\Project1.vbp. В аналогичных образцах встретились и другие варианты.
По найденной нами информации можно предположить, что в 2019 году автор Trojan.GidraNET.1 использовал этот троян для первичного заражения через фишинговое письмо с последующей загрузкой бэкдора, скрыто устанавливающего Remote Utilties.
Заключение
Бэкдоры на базе утилит для удаленного администрирования остаются актуальной угрозой безопасности и до сих пор применяются для атак на корпоративный сектор. В свою очередь фишинговые письма являются основным средством доставки полезной нагрузки на заражаемые компьютеры. Отличительная черта вредоносных вложений — архивация полезной нагрузки с использованием пароля, что позволяет письму преодолеть встроенные в почтовый сервер средства защиты. Другой особенностью является наличие текстового файла с паролем к поддельному архиву. Кроме того, использование вредоносной библиотеки и атаки DLL Hijacking обеспечивает скрытое функционирование ПО для удаленного управления на скомпрометированном устройстве.