• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Супер-ратник не оставляющий следов

Информация Супер-ратник не оставляющий следов (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 397
Репутация
7 885
Telegram
Пользователь X-Shar разместил новый ресурс:

Супер-ратник не оставляющий следов - Ресерч Nancrat

Посмотреть вложение 58347

Хотел-бы сделать перевод, а-то тут меня обвиняют все в копипасте, а потом напала на меня лень !

В принципе семпл можете сами найти кому нужно, вот подробный ресерч что и как:Teaching an old RAT new tricks

Для простолюдинов-же, по рабоче-крестьянски, но копипаст...:(

Хакерские группы ряда азиатских стран уже активно используют новую технику атак, и исследователи отмечают, что данный...
Узнать больше об этом ресурсе...
 
В

Ванесса

Гость
В принципе семпл можете сами найти кому нужно
Буржуины пожадничали за семпл
Если взять хеши примера приведённого в статье (запостим для поисковиков)
SHA-256 sum: b7cfc7e9551b15319c068aae966f8a9ff563b522ed9b1b42d19c122778e018c8
HSA-1 sum: 3b1ac573509281cdc0b6141f8ea6ed3af393b554
MD5 sum: 65752e742d643d121ee7e826ab65dc9b
https://www.virustotal.com/en/file/...a9ff563b522ed9b1b42d19c122778e018c8/analysis/
Находим местообитание сэмплов:
Malwr - Malware Analysis by Cuckoo Sandbox
https://www.hybrid-analysis.com/sam...3b522ed9b1b42d19c122778e018c8?environmentId=4
Видим, что файлы запрещены к скачиванию.
Гуглим и находим такой образец:
MD5 430a0c0a4c9c1ab9f3be331b27cb56d9
SHA1 a2763820b9b91c2d312c9b5b92aa162b74232552
SHA256 38371822e1299c17a2a11c780c9d6d3d09a7f2e706a1144a50a7a52d70a10322
https://www.virustotal.com/en/file/...d3d09a7f2e706a1144a50a7a52d70a10322/analysis/
Видим, что на ВТ у этих сэмплов классификация у некоторых аверов совпадает полностью, в комментариях видим адрес: azona.chickenkiller.com
В статье упоминается такая директория %APPDATA%\Microsoft\Blend\14.0\FeedCache\nvSCPAPISrv.exe
Запускаем последний сэмпл на виртуалке (имага не грузится сюда отчего-то)

Всё совпадает.
Линк на сэмпл (файлы тоже не грузятся). Пасс:111
PAYMENT_TT_SWIFT_COPY.zip
 

UserOK

Уважаемый пользователь
Форумчанин
Регистрация
04.11.2014
Сообщения
205
Репутация
109
А толку то,что он даже теоретически не оставляет следов. АВ с нормальной проактивкой не даст ему нормально отработать даже в памяти ,перехватив подозрительные API.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 397
Репутация
7 885
Telegram
А толку то,что он даже теоретически не оставляет следов. АВ с нормальной проактивкой не даст ему нормально отработать даже в памяти ,перехватив подозрительные API.
Незнаю, на дефолте ав стараются как можно меньше дерьбанить пользователя, что-бы исключить ложные срабатывания и т.д.

Поэтому какие-то ав и пропустят, какие-то задетектят, тестить надо, всё ещё зависит от настроек !Не въехал!!!