Onderzoekers ontmaskeren NonEuclid RAT met behulp van UAC Bypass en AMSI Evasion Techniques

Cybersecurity-onderzoekers hebben licht geworpen op een nieuwe trojan voor externe toegang, genaamd NietEuclides waarmee kwaadwillenden gecompromitteerde Windows-systemen op afstand kunnen besturen.

“De NonEuclid trojan voor externe toegang (RAT), ontwikkeld in C#, is een zeer geavanceerde malware die ongeautoriseerde toegang op afstand biedt met geavanceerde ontwijkingstechnieken”, zei Cyfirma in een technische analyse die vorige week werd gepubliceerd.

“Het maakt gebruik van verschillende mechanismen, waaronder antivirusomzeiling, escalatie van bevoegdheden, anti-detectie en ransomware-encryptie gericht op kritieke bestanden.”

NonEuclid wordt in ieder geval sinds eind november 2024 op ondergrondse forums geadverteerd, met tutorials en discussies over de malware die is ontdekt op populaire platforms als Discord en YouTube. Dit wijst op een gezamenlijke inspanning om de malware te verspreiden als een crimeware-oplossing.

In de kern begint de RAT met een initialisatiefase voor een clienttoepassing, waarna deze een reeks controles uitvoert om detectie te omzeilen voordat een TCP-socket wordt opgezet voor communicatie met een gespecificeerd IP-adres en poort.

Het configureert ook Microsoft Defender Antivirus-uitsluitingen om te voorkomen dat de artefacten worden gemarkeerd door de beveiligingstool, en houdt processen als “taskmgr.exe”, “processhacker.exe” en “procexp.exe” in de gaten, die vaak worden gebruikt voor analyse en procesmanagement.

“Het maakt gebruik van Windows API-aanroepen (CreateToolhelp32Snapshot, Process32First, Process32Next) om processen op te sommen en te controleren of hun uitvoerbare namen overeenkomen met de opgegeven doelen”, aldus Cyfirma. “Als er een match wordt gevonden, wordt het proces, afhankelijk van de AntiProcessMode-instelling, beëindigd of wordt de clienttoepassing afgesloten.”

Niet-Euclidische RAT

Enkele van de anti-analysetechnieken die door de malware worden toegepast, omvatten controles om te bepalen of de malware in een virtuele of sandbox-omgeving draait, en als dit het geval blijkt te zijn, wordt het programma onmiddellijk beëindigd. Bovendien bevat het functies om de Windows Antimalware Scan Interface (AMSI) te omzeilen.

Terwijl persistentie wordt bereikt door middel van geplande taken en wijzigingen in het Windows-register, probeert NonEuclid ook de bevoegdheden te verhogen door de beveiliging van Gebruikersaccountbeheer (UAC) te omzeilen en opdrachten uit te voeren.

Een relatief ongebruikelijke functie is de mogelijkheid om bestanden die overeenkomen met bepaalde extensietypes (bijv. .CSV, .TXT en .PHP) te versleutelen en deze te hernoemen met de extensie “. NonEuclid”, waardoor ze feitelijk in ransomware veranderen.

“De NonEuclid RAT is een voorbeeld van de toenemende verfijning van moderne malware, waarbij geavanceerde stealth-mechanismen, anti-detectiefuncties en ransomware-mogelijkheden worden gecombineerd”, aldus Cyfirma.

“De wijdverbreide promotie ervan op ondergrondse forums, Discord-servers en tutorialplatforms demonstreert de aantrekkingskracht ervan op cybercriminelen en benadrukt de uitdagingen bij het bestrijden van dergelijke bedreigingen. De integratie van functies zoals privilege-escalatie, AMSI-bypass en procesblokkering demonstreert het aanpassingsvermogen van de malware bij het ontwijken veiligheidsmaatregelen.”

Thijs Van der Does