الكشف عن وظائف “كوازار ريت” الأساسية وتقنيات التشفير والإخفاء

تم الكشف عن تزايد استخدام برنامج QuasarRAT، وهو أداة وصول عن بعد تم استخدامها في البداية لأغراض مشروعة، من قبل مجرمي الإنترنت في حملات هجومية متطورة. تتضمن التهديدات المتزايدة استغلال البرنامج في عمليات التجسس وجمع المعلومات الحساسة.

QuasarRAT، الذي ظهر لأول مرة في عام 2014، تحول من أداة إدارة عن بعد لنظام ويندوز إلى أداة قوية في أيدي المتسللين. يعود السبب الرئيسي في استخدامه المتزايد إلى طبيعته مفتوحة المصدر وسهولة تعديله، مما يجعله خياراً مفضلاً لشن هجمات إلكترونية متنوعة.

QuasarRAT: التهديد المتزايد في عالم الأمن السيبراني

برنامج QuasarRAT، المصمم بلغة #C ومبني على إطار عمل .NET، يتميز بمرونته وقدرته على التكيف مع حملات مختلفة. تستفيد الجهات الخبيثة منoll)oll(oll)oll)oll)oll)oll)oll)oll)oll)oll)oll)oll)oll) możliwościه المتعددة، بما في ذلك مراقبة الأنظمة عن بعد، وسرقة البيانات، وتنفيذ أوامر عشوائية.

تشمل القدرات التقنية لـ QuasarRAT جمع معلومات النظام، وإدارة الملفات، وتسجيل ضربات المفاتيح، وإمكانية تنفيذ تعليمات برمجية ضارة. هذه الوظائف تمنح المهاجمين سيطرة مستمرة على الأنظمة المخترقة، مما يجعله أداة مفضلة للمتسللين الأفراد والمجموعات المدعومة من دول تسعى لاختراق الشبكات.

وفقاً لتحليلات أجراها محللو الأمن في شركة Sekoia، تعود شعبية QuasarRAT إلى سهولة تعديله وتوافر رموزه المصدرية على منصات مثل GitHub. تتيح هذه السهولة للمهاجمين إعادة تجميع البرنامج بوظائف مخصصة، وتكييفه لاستهداف جهات محددة.

يتضخم تأثير البرنامج الخبيث بفضل قدرته على التهرب من آليات الكشف الأساسية من خلال التكيف المستمر للتعليمات البرمجية، مما يضمن بقاءه تهديداً مستمراً.

يكمن الخطر الأساسي في تنوع استخداماته. سواء تم استخدامه للسرقة المالية أو لجمع الاستخبارات، يندمج QuasarRAT بسلاسة في سلاسل الهجوم المختلفة، مما يعزز من خطورته.

فك تشفير الإعدادات المشفرة وتقنيات الإخفاء

تستخدم عينات QuasarRAT الحديثة تقنيات إخفاء متقدمة لإخفاء بيانات الإعدادات. بينما قد تترك الإصدارات القياسية الإعدادات كنص عادي، غالباً ما تستخدم المتغيرات الخبيثة تشفيراً مكثفاً.

تعتمد هذه المتغيرات على تشفير AES-256 في وضع CBC لتأمين البيانات الحيوية مثل خوادم القيادة والتحكم (C2). غالباً ما يتم استخلاص مفتاح التشفير باستخدام PBKDF2 مع قيمة ملح ثابتة موجودة في فئة Aes256.

للتغلب على هذه الدفاعات، يستخدم المحللون مزيجاً من مكتبات Python و .NET مثل dnlib لفحص شفرة اللغة الوسيطة (IL). تتضمن عملية الاستخراج تحديد المُنشئ الثابت (.cctor) حيث يتم تهيئة مفتاح AES.

من خلال تحليل تعليمات IL، وخاصة البحث عن عوامل تشغيل مثل ldstr و stsfld، يستطيع الباحثون استعادة المواد المشفرة. يسمح هذا باسترجاع مفتاح AES والملح دون الحاجة إلى تنفيذ البرنامج. بالنسبة للأمثلة المشفرة بشكل كبير، يتم تحديد روتين فك التشفير عن طريق تتبع استدعاءات الطريقة ضمن فئة Settings. بمجرد عزل دالة فك التشفير والملح، يمكن فك تشفير سلاسل الإعدادات، مما يكشف عن البنية التحتية للمهاجم. وهذا يقوض بفعالية محاولات إخفاء مؤشرات الاختراق.