4 марта 2021 года
Мы уже трогали деятельности Winnti, когда-нибудь изучали эталоны бэкдора ShadowPad, отысканные нами в скомпрометированной паутины национального учреждения Киргизии. помимо того, до этого в этой же паутины мы заприметили альтернативной специализированный бэкдор — PlugX, имеющий с ShadowPad масса пересечений в коде столь ровно сетевой инфраструктуре. Сравнительному анализу обоих семейств был приурочен к
В конкретно в данном изучении мы проведем разбор отысканного вредного модуля, рассмотрим методы столь ровно индивидуальности его работы столь ровно выявим его ассоциация с иными популярными инструментами APT-группы Winnti.
Основные особенности
На зараженном устройстве вредный модуль располагался в системной директории C:WindowsSystem32 под именованием oci.dll. подобным образом, модуль был подготовлен для пуска системной службой MSDTC (Microsoft Distributed Transaction Coordinator) при поддержке способа DLL Hijacking. По нашим данным, файл попал на компы в мае 2020 года, для тех закончить делать менее метод первичного инфецирования остался неизвестным. В журнальчиках обстоятельств обнаружились записи о создании служб, специализированных для старта столь ровно остановки MSDTC, а уж еще для выполнения бэкдора.
Log Name: System
Source: Service Control Manager
Date: 23.11.2020 5:45:17
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: <redacted>
Computer: <redacted>
Description:
A service was installed in the system.
Service Name: IIJVXRUMDIKZTTLAMONQ
Service File Name: net start msdtc
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem
Log Name: System
Source: Service Control Manager
Date: 23.11.2020 5:42:20
Event ID: 7045
Task Category: None
Level: Information
Keywords: Classic
User: <redacted>
Computer: <redacted>
Description:
A service was installed in the system.
Service Name: AVNUXWSHUNXUGGAUXBRE
Service File Name: net stop msdtc
Service Type: user mode service
Service Start Type: demand start
Service Account: LocalSystem
Также были отысканы отпечатки пуска альтернативных служб со случайными именами, их файлы располагались в директориях облика C:WindowsTemp<random1><random2>, где-либо random1 столь ровно random2 появляются строками случайной длины из случайных знаков латинского алфавита. На минута проведения изучения исполняемые файлы этих служб отсутствовали.
Интересной находкой предстала служба, свидетельствующая об пользовании утилиты для удаленного выполнения кода smbexec.py из состава комплекта
Исследуемый вредный модуль oci.dll был добавлен в вирусную основу Dr.Web насколько
Бэкдор примечателен возле увлекательных особенностей. Во-первых, oci.dll содержит коренной PE-модуль, однако с отсутствующими файловыми сигнатурами. наполнение сигнатур заголовка нулями, предположительно, было изготовлено с целью затруднения детектирования бэкдора в памяти устройства. Во-вторых, нужная нагрузка сама по для себя закончить делать несет вредной функциональности, однако служит загрузчиком столь ровно координатором доборных плагинов, получаемых от управляющего сервера. С поддержкой этих подключаемых плагинов бэкдор делает основополагающие задачи. подобным образом, это дом имеет модульную структуру, столь же насколько столь ровно иные семейства бэкдоров, применяемые Winnti, — упомянутые до этого ShadowPad столь ровно PlugX.
Анализ сетевой инфраструктуры Spyder выявил ассоциация с иными атаками Winnti. В частности инфраструктура, применяемая бэкдорами Crosswalk столь ровно ShadowPad, описанными в
Подробное техническое описание
Заключение
Рассмотренный прототип бэкдора для мотивированных атак BackDoor.Spyder.1 примечателен в первую очередность тем, ровно его код закончить делать исполняет прямых вредных функций. Его основополагающие задачки — потаенное функционирование в зараженной системе столь ровно установление взаимоотношения с управляющим сервером с следующим ожиданием команд операторов. При конкретно в данном он имеет модульную структуру, ровно дает возможность масштабировать его возможности, обеспечивая всякую функциональность в зависимости от нужд атакующих. присутствие подключаемых плагинов роднит рассмотренный прототип с ShadowPad столь ровно PlugX, что, вместе с пересечениями сетевых инфраструктур, дает возможность нам содеять вывод о его принадлежности к деятельности Winnti.
НОВОЕ НА САЙТЕ
13 мая 2024 года
SPEAKERMARKET — маркетплейс спикеров. Вы организатор мероприятия и вам нужен спикер? Разместите запрос, получите предложения от спикеров, выберите наиболее подходящего. Вы спикер и хотите выступать на мероприятиях? Зарегистрируйтесь на сайте, […]
The post
7 мая 2024 года
Для коррекции ошибки в таблицах Приложени... Антивирус Dr.Web
4 мая 2024 года
2 мая 2024 года
В новейшей версии 12.2.2 обновлено антивирусное ядро, которое появляется сердцем приложения так что гарантирует надежную защиту от любых типов вредного ПО, так что сбыта очень ожидаемая юзерами содействие ОС Android 1... Антивирус Dr.Web