NonEuclid-RAT-Erkennung: Malware ermöglicht Angreifern den unbefugten Fernzugriff und die Kontrolle über ein Zielsystem

[post-views]
Januar 06, 2025 · 4 min zu lesen
NonEuclid-RAT-Erkennung: Malware ermöglicht Angreifern den unbefugten Fernzugriff und die Kontrolle über ein Zielsystem

Die heutige Bedrohungslandschaft im Bereich der Cybersicherheit ist gekennzeichnet durch den Anstieg von Malware-Varianten, die Angreifern grünes Licht geben, die vollständige Fernsteuerung über angegriffene Systeme zu übernehmen, wie etwa eine bösartige Remcos RAT verbreitet über einen Phishing Angriffsvektor. Zu Beginn des Januar 2025 enthüllten Verteidiger eine neu auftretende, heimliche Malware mit dem Namen NonEuclid RAT, die mit ausgefeilten offensiven Fähigkeiten angereichert ist, wie fortschrittliche Erkennungsausweichtechniken, Privilegieneskalation und Ransomware-Verschlüsselung.

Erkennung von NonEuclid RAT-Angriffen

Im vergangenen Jahr verzeichneten Cybersicherheitsforscher einen 30%igen Anstieg des weltweiten Malware-Volumens im Vergleich zu 2023, was auf eine anhaltende Eskalation bösartiger Aktivitäten weltweit hinweist. Dieser Anstieg unterstreicht die zunehmende Komplexität der Cyberbedrohungen und die steigenden Herausforderungen, denen sich Sicherheitsteams gegenübersehen.

Um aufkommende Bedrohungen effektiv abzuwehren, benötigen Cyberverteidiger Zugang zu CTI-gestützten Erkennungsregeln, die Echtzeiteinblicke in sich entwickelnde Angriffsmuster bieten. Verlassen Sie sich auf die SOC Prime Plattform für kollektive Cyberverteidigung, um Ihr Team mit kuratierten Erkennungsinhalten zu aufkommenden Bedrohungen wie NonEuclid RAT auszustatten, unterstützt durch eine komplette Produktsuite für fortschrittliche Bedrohungserkennung und Threat Hunting.

Drücken Sie den Entdeckungen erkunden Knopf unten und tauchen Sie sofort in eine Sammlung von Sigma-Regeln ein, die sich mit NonEuclid RAT-Angriffen befassen. Alle Regeln sind dem MITRE ATT&CK Framework zugeordnet und kompatibel mit über 30 SIEM-, EDR- und Data-Lake-Lösungen. Darüber hinaus sind die Regeln mit umfangreichen Metadaten angereichert, einschließlich Threat Intel Referenzen, Medienlinks, Angriffschroniken und mehr.

Entdeckungen erkunden

Analyse von NonEuclid RAT

CYFIRMA-Forscher haben kürzlich eine aufkommende Bedrohung beleuchtet, die ein neues Maß an Malware-Komplexität zeigt. NonEuclid RAT, eine neue, heimliche C#-basierte Malware, die für das .NET Framework 4.8 entwickelt wurde, ist darauf ausgelegt, der Erkennung zu entgehen und dennoch unbefugten Fernzugriff auf die Umgebung des Opfers zu bieten, über fortschrittliche Funktionen wie Ransomware-Verschlüsselung, Privilegieneskalation und erweiterte Fähigkeit zur Erkennungsausweichtung.

Die Malware wird auf Hacking-Foren und in sozialen Medien weit verbreitet und erregt Aufmerksamkeit für ihre heimlichen Fähigkeiten, dynamisches DLL-Laden, Anti-VM-Checks und AES-Verschlüsselung. Der Malware-Entwickler, bekannt unter dem Pseudonym „NAZZED“, bewirbt NonEuclid seit Oktober 2021. CYFIRMA bemerkte, dass der RAT auf mehreren russischen Foren und Discord-Kanälen häufig beworben, verkauft und diskutiert wurde, was seine Beliebtheit in kriminellen Kreisen und seine Verwendung in fortschrittlichen Angriffen hervorhebt.

Der Malware-Code initialisiert eine Client-Anwendung mit verschiedenen Sicherheits-, Erkennungsvermeidungs- und Persistenzfunktionen. Er beginnt mit der Verzögerung der Ausführung und dem Laden der Einstellungen. Wenn die Einstellungen fehlschlagen, beendet er sich. Die App stellt sicher, dass administrative Rechte vorliegen, führt Erkennungsscans durch und verhindert doppelte Instanzen mittels eines Mutex. Anti-Prozess-Blockierung und Protokollierung werden aktiviert, während ein Client-Socket die Serverkommunikation abwickelt und bei einem Linkabbruch kontinuierlich eine erneute Verbindung herstellt.

Ein TCP-Socket startet die Verbindung, passt die Puffergrößen an und versucht, zu einer bestimmten IP und einem bestimmten Port zu gelangen. Sobald dies erfolgreich ist, wird der Socket in einen NetworkStream gepackt, Timer für Keep-Alive- und Pong-Pakete gesetzt und das asynchrone Lesen der Daten begonnen. Verbindungseigenschaften wie Header, Versätze und Intervalle werden konfiguriert, während eine fehlgeschlagene Verbindung den Status auf falsch setzt.

NonEuclid RAT setzt eine Vielzahl offensiver Werkzeuge ein, um der Erkennung zu entgehen, Privilegien zu erhöhen und Persistenz auf dem betroffenen Computer herzustellen. Die AntiScan-Methode der Malware umgeht Windows Defender, indem Ausschlüsse zur Registry hinzugefügt werden, die verhindern, dass Dateien wie der Malware-Server und ausführbare Dateien gescannt werden. Die Block-Methode überwacht und beendet Prozesse wie „Taskmgr.exe“ und „ProcessHacker.exe“ mittels Windows-API-Aufrufen. Die Malware erstellt auch eine geplante Aufgabe, um einen Befehl in festgelegten Intervallen auszuführen und das Befehlsfenster zu verbergen. Die Bypass-Methode modifiziert die Windows-Registry, um Einschränkungen zu umgehen und führt eine sekundäre ausführbare Datei aus, wenn administrative Rechte vorliegen. Die HKCU-Methode aktualisiert einen Registryschlüssel unter HKEY_CURRENT_USER mit einem bestimmten Wert.

Was Ransomware-Verschlüsselungstools betrifft, so verschlüsseln Angreifer Dateitypen wie „.csv“, „.txt“ und „.php“ mit AES und benennen sie mit der Endung „.NonEuclid“ um. Nach der Ausführung legt NonEuclid zwei ausführbare Dateien in separaten Ordnern ab, die automatisch über den Taskplaner ausgeführt werden. Dies gewährleistet Persistenz und ermöglicht es der Malware, auch nach dem Neustart des Systems oder dem Versuch, den Prozess zu beenden, weiter zu arbeiten.

Die zunehmende Beliebtheit von NonEuclid RAT, angetrieben durch malewared fokussierte Diskussionen auf verschiedenen beliebten Plattformen, deutet auf eine koordinierte Anstrengung hin, seine offensive Nutzung auszuweiten und verlangt erhöhte Wachsamkeit von Cybersicherheitsexperten. Die Verteidigung gegen solche Bedrohungen erfordert proaktive Strategien, kontinuierliche Überwachung und Bewusstsein für die sich entwickelnden Taktiken der Cyberkriminellen. SOC Prime Plattform für kollektive Cyberverteidigung bietet globalen Organisationen Spitzentechnologien für fortschrittliches Detection Engineering, proaktive Bedrohungserkennung und automatisiertes Threat Hunting, um Cyberbedrohungen zu übertreffen. Durch Nutzung des Emerging Threats-Feeds, können Sicherheitsteams sofort auf eine zentrale Quelle mit umsetzbaren Bedrohungsinformationen, relevanten Erkennungsregeln und AI-angereichertem Kontext zugreifen, um stets informiert zu bleiben und den Gegnern einen Schritt voraus zu sein.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko