Neptune RAT – Что это и как защититься
Neptune - это ПО с открытым исходным кодом предназначено для обучения специалистов по тестированию на проникновение, но последняя версия программы для пентеста заражает ПК пользователей. Кроме того, часть вредоносных DLL файлов из программы могут быть взяты и прикреплены к другой программе или игре.
Neptune RAT – это троян удаленного доступа RAT, который может блокировать файлы, красть пароли, стирать MBR запись в Windows и многое другое. Угроза написанная на Visual Basic .NET скрывает свой вредоносный код за арабскими символами и эмодзи, что позволяет обойти защиту брандмауэра и антивируса.
Шифруется с помощью Base64 и сохраняется как текстовый файл на сайте catbox[.]moe через API. После этого вредоносный файл копируется в папку AppData на целевом устройстве, где при запуске устанавливается связь между заражённым клиентом и сервером злоумышленника.
Одной из особенностей, делающих Neptune RAT особенно опасным, является применение PowerShell-команд для скачивания и запуска вредоносного кода, размещённого на внешних серверах. Такой подход позволяет вредоносной программе устанавливать защищённое соединение между заражённым компьютером и управляющим сервером злоумышленников, что даёт возможность удалённо загружать различные модули и выполнять широкий спектр вредоносных действий.
Как защититься от Neptune RAT?
Отключить обращения к веб-ресурсам с помощью irm и iex при помощи функции "Ограниченный языковой режим", что будет блокировать работу Neptune RAT.
$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"
Чтобы принудительно применить ограниченные языковые настройки для всех пользователей, выполните следующие действия:
Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force
Чтобы отменить и включить снова irm и iex, введите:
$ExecutionContext.SessionState.LanguageMode = "FullLanguage"
Еще один вариант, если вы нечасто используете PowerShell, можно полностью отключить PowerShell доступ к Интернету. Для этого введите:
New-NetFirewallRule -Name "BlockPowerShellOutbound" -DisplayName "Block PowerShell Outbound" -Enabled True -Direction Outbound -Program "%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe" -Action Block
Чтобы снова включить возможность PowerShell работать с интернетом, введите следующую команду:
Remove-NetFirewallRule -Name "BlockPowerShellOutbound"
Вывод: Не используйте ПО Neptune RAT, так как оно является вредоносным. Если уже начали использовать, то выше команды помогут запретить и блокировать его работу, чтобы было время предпринять меры.