• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Супер-ратник не оставляющий следов

Информация Супер-ратник не оставляющий следов

rat-in-disguise.jpg


Хотел-бы сделать перевод, а-то тут меня обвиняют все в копипасте, а потом напала на меня лень !

В принципе семпл можете сами найти кому нужно, вот подробный ресерч что и как:Teaching an old RAT new tricks

Для простолюдинов-же, по рабоче-крестьянски, но копипаст...:(

Хакерские группы ряда азиатских стран уже активно используют новую технику атак, и исследователи отмечают, что данный метод может вскоре может начать применяться не только в азиатских странах и не только для NanoCore.

Техника гарантирует, что вредоносный пейлоуд останется исключительно в памяти устройства, ни разу не коснувшись жесткого диска жертвы в незашифрованном виде.

Впервые проникнув на компьютер жертвы, вредонос создает два файла: %APPDATA%\Microsoft\Blend\14.0\FeedCache\nvSCPAPISrv.exe и PerfWatson.exe по тому же адресу, а затем запускает их.

Picture11.png


В реестре появляется HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load, указывающий на файл PerfWatson.exe.

Picture31.png


Затем NanoCore пытается выйти на связь с управляющим сервером, а также распаковывает защищенный XOR-шифрованием .DLL-файл, который как раз ответственен за распаковку и инъекцию самого RAT в память компьютера. Настройки данного .DLL и исполняемых файлов NanoCore хранятся в зашифрованном виде внутри нескольких .PNG-изображений, куда записаны с использованием стеганографии.

Picture111.png


Когда все компоненты расшифрованы, пейлоуд NanoCore внедряется в новый процесс, используя Win32 API. Разумеется, на жестком диске пользователя всё же останутся какие-то следы, но антивирусные решения не определят их как вредоносные. Подобную атаку вообще крайне трудно отследить, так как пейлоуд скрывается в памяти.
Автор
X-Shar
Просмотры
613
Первый выпуск
Обновление
Рейтинг
0.00 звёзд Оценок: 0
Верх Низ