RATKing: новая кампания с троянами ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа

Π’ ΠΊΠΎΠ½Ρ†Π΅ мая ΠΌΡ‹ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ кампанию распространСния Π’ΠŸΠž класса Remote Access Trojan (RAT) — ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎ ΡƒΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½ΠΎΠΉ систСмой.

РассматриваСмая Π½Π°ΠΌΠΈ Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠ° ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ»Π°ΡΡŒ Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ½Π° Π½Π΅ Π²Ρ‹Π±Ρ€Π°Π»Π° для зараТСния ΠΊΠ°ΠΊΠΎΠ΅-Ρ‚ΠΎ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½ΠΎΠ΅ сСмСйство RAT. Π’ Π°Ρ‚Π°ΠΊΠ°Ρ… Π² Ρ€Π°ΠΌΠΊΠ°Ρ… ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ Π±Ρ‹Π»ΠΈ Π·Π°ΠΌΠ΅Ρ‡Π΅Π½Ρ‹ сразу нСсколько троянов (всС Π² ΡˆΠΈΡ€ΠΎΠΊΠΎΠΌ доступС). Π­Ρ‚ΠΎΠΉ Ρ‡Π΅Ρ€Ρ‚ΠΎΠΉ Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠ° Π½Π°ΠΏΠΎΠΌΠ½ΠΈΠ»Π° Π½Π°ΠΌ ΠΎ ΠΊΡ€Ρ‹ΡΠΈΠ½ΠΎΠΌ ΠΊΠΎΡ€ΠΎΠ»Π΅ — мифичСском ΠΆΠΈΠ²ΠΎΡ‚Π½ΠΎΠΌ, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ состоит ΠΈΠ· Π³Ρ€Ρ‹Π·ΡƒΠ½ΠΎΠ² с ΠΏΠ΅Ρ€Π΅ΠΏΠ»Π΅Ρ‚Π΅Π½Π½Ρ‹ΠΌΠΈ хвостами.

RATKing: новая кампания с троянами ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа
ΠžΡ€ΠΈΠ³ΠΈΠ½Π°Π» взят ΠΈΠ· ΠΌΠΎΠ½ΠΎΠ³Ρ€Π°Ρ„ΠΈΠΈ К. Π. Π ΠΎΡΡΠΈΠΊΠΎΠ²Π° Β«ΠœΡ‹ΡˆΠΈ ΠΈ ΠΌΡ‹ΡˆΠ΅Π²ΠΈΠ΄Π½Ρ‹Π΅ Π³Ρ€Ρ‹Π·ΡƒΠ½Ρ‹, Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ Π²Π°ΠΆΠ½Ρ‹Π΅ Π² Ρ…озяйствСнном ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΠΈΒ» (1908 Π³.)

Π’ Ρ‡Π΅ΡΡ‚ΡŒ этого сущСства ΠΌΡ‹ Π½Π°Π·Π²Π°Π»ΠΈ Ρ€Π°ΡΡΠΌΠ°Ρ‚Ρ€ΠΈΠ²Π°Π΅ΠΌΡƒΡŽ Π½Π°ΠΌΠΈ Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΡƒ RATKing. Π’ ΡΡ‚ΠΎΠΌ постС ΠΌΡ‹ Ρ€Π°ΡΡΠΊΠ°ΠΆΠ΅ΠΌ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎ ΠΎ Ρ‚ΠΎΠΌ, ΠΊΠ°ΠΊ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΠ»ΠΈ Π°Ρ‚Π°ΠΊΡƒ, ΠΊΠ°ΠΊΠΈΠ΅ инструмСнты ΠΎΠ½ΠΈ использовали, Π° Ρ‚Π°ΠΊΠΆΠ΅ подСлимся своими сообраТСниями ΠΎΡ‚Π½ΠΎΡΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π°Ρ‚Ρ€ΠΈΠ±ΡƒΡ†ΠΈΠΈ этой ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ.

Π₯ΠΎΠ΄ Π°Ρ‚Π°ΠΊΠΈ

ВсС Π°Ρ‚Π°ΠΊΠΈ Π² ΡΡ‚ΠΎΠΉ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ ΠΏΡ€ΠΎΡ…ΠΎΠ΄ΠΈΠ»ΠΈ ΠΏΠΎ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΌΡƒ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΡƒ:

  1. ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ ΠΏΠΎΠ»ΡƒΡ‡Π°Π» Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²ΠΎΠ΅ письмо со ΡΡΡ‹Π»ΠΊΠΎΠΉ Π½Π° Google Drive.
  2. По ΡΡΡ‹Π»ΠΊΠ΅ ΠΆΠ΅Ρ€Ρ‚Π²Π° скачивала врСдоносный VBS-скрипт, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ прописывал DLL-Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΡƒ для Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎΠ³ΠΎ ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄Π° Π² Ρ€Π΅Π΅ΡΡ‚Ρ€ Windows ΠΈ Π·Π°ΠΏΡƒΡΠΊΠ°Π» PowerShell, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΈΡΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ Π΅Π΅.
  3. DLL-Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ° внСдряла ΠΊΠΎΠ½Π΅Ρ‡Π½Ρ‹ΠΉ ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄ — собствСнно, ΠΎΠ΄ΠΈΠ½ ΠΈΠ· ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ RAT — Π² ΡΠΈΡΡ‚Π΅ΠΌΠ½Ρ‹ΠΉ процСсс ΠΈ ΠΏΡ€ΠΎΠΏΠΈΡΡ‹Π²Π°Π»Π° VBS-скрипт Π² Π°Π²Ρ‚озапуск, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π·Π°ΠΊΡ€Π΅ΠΏΠΈΡ‚ΡŒΡΡ Π² Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½ΠΎΠΉ машинС.
  4. ΠšΠΎΠ½Π΅Ρ‡Π½Ρ‹ΠΉ ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄ исполнялся Π² ΡΠΈΡΡ‚Π΅ΠΌΠ½ΠΎΠΌ процСссС ΠΈ Π΄Π°Π²Π°Π» Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΡƒ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΡƒΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½Ρ‹ΠΌ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€ΠΎΠΌ.

БхСматичСски это ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²ΠΈΡ‚ΡŒ Ρ‚Π°ΠΊ:

RATKing: новая кампания с троянами ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа

Π”Π°Π»Π΅Π΅ ΠΌΡ‹ ΡΠΎΡΡ€Π΅Π΄ΠΎΡ‚очимся Π½Π° ΠΏΠ΅Ρ€Π²Ρ‹Ρ… Ρ‚Ρ€Π΅Ρ… этапах, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ нас интСрСсуСт ΠΈΠΌΠ΅Π½Π½ΠΎ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌ доставки Π’ΠŸΠž. ΠœΡ‹ Π½Π΅ ΡΡ‚Π°Π½Π΅ΠΌ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎ ΠΎΠΏΠΈΡΡ‹Π²Π°Ρ‚ΡŒ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌ Ρ€Π°Π±ΠΎΡ‚Ρ‹ самих врСдоносов. Они находятся Π² ΡˆΠΈΡ€ΠΎΠΊΠΎΠΌ доступС — Π»ΠΈΠ±ΠΎ ΠΏΡ€ΠΎΠ΄Π°ΡŽΡ‚ΡΡ Π½Π° ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… Ρ„ΠΎΡ€ΡƒΠΌΠ°Ρ…, Π»ΠΈΠ±ΠΎ ΠΈ Π²ΠΎΠ²ΡΠ΅ Ρ€Π°ΡΠΏΡ€ΠΎΡΡ‚Ρ€Π°Π½ΡΡŽΡ‚ΡΡ ΠΊΠ°ΠΊ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Ρ‹ с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ, — Π° Π·Π½Π°Ρ‡ΠΈΡ‚, Π½Π΅ ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½Ρ‹ для Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠΈ RATKing.

Анализ этапов Π°Ρ‚Π°ΠΊΠΈ

Π­Ρ‚Π°ΠΏ 1. Ѐишинговая рассылка

Атака Π½Π°Ρ‡ΠΈΠ½Π°Π»Π°ΡΡŒ с Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ ΠΆΠ΅Ρ€Ρ‚Π²Π° ΠΏΠΎΠ»ΡƒΡ‡Π°Π»Π° врСдоносноС письмо (Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ использовали Ρ€Π°Π·Π½Ρ‹Π΅ ΡˆΠ°Π±Π»ΠΎΠ½Ρ‹ с Ρ‚Скстом, Π½Π° ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚Π΅ Π½ΠΈΠΆΠ΅ ΠΏΡ€ΠΈΠ²Π΅Π΄Π΅Π½ ΠΎΠ΄ΠΈΠ½ ΠΈΠ· ΠΏΡ€ΠΈΠΌΠ΅Ρ€ΠΎΠ²). Π’ ΡΠΎΠΎΠ±Ρ‰Π΅Π½ΠΈΠΈ Π±Ρ‹Π»Π° ссылка Π½Π° Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½ΠΎΠ΅ Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π΅ drive.google.com, которая якобы Π²Π΅Π»Π° Π½Π° ΡΡ‚Ρ€Π°Π½ΠΈΡ†Ρƒ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π° Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ PDF.

RATKing: новая кампания с троянами ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа
ΠŸΡ€ΠΈΠΌΠ΅Ρ€ Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²ΠΎΠ³ΠΎ письма

Однако Π½Π° Π΄Π΅Π»Π΅ загруТался вовсС Π½Π΅ PDF-Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚, Π° VBS-скрипт.

ΠŸΡ€ΠΈ ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄Π΅ ΠΏΠΎ ΡΡΡ‹Π»ΠΊΠ΅ ΠΈΠ· ΠΏΠΈΡΡŒΠΌΠ° Π½Π° ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚Π΅ Π²Ρ‹ΡˆΠ΅ загруТался Ρ„Π°ΠΉΠ» с ΠΈΠΌΠ΅Π½Π΅ΠΌ Cargo Flight Details.vbs. Π’ ΡΡ‚ΠΎΠΌ случаС Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ Π΄Π°ΠΆΠ΅ Π½Π΅ ΠΏΡ‹Ρ‚Π°Π»ΠΈΡΡŒ Π·Π°ΠΌΠ°ΡΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ„Π°ΠΉΠ» ΠΏΠΎΠ΄ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚.

Π’ Ρ‚ΠΎ ΠΆΠ΅ врСмя Π² Ρ€Π°ΠΌΠΊΠ°Ρ… этой ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ ΠΌΡ‹ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ скрипт с ΠΈΠΌΠ΅Π½Π΅ΠΌ Cargo Trip Detail.pdf.vbs. Он ΡƒΠΆΠ΅ ΠΌΠΎΠ³ сойти Π·Π° Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ PDF, ΠΏΠΎΡ‚ΠΎΠΌΡƒ Ρ‡Ρ‚ΠΎ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ Windows скрываСт Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ². ΠŸΡ€Π°Π²Π΄Π°, Π² ΡΡ‚ΠΎΠΌ случаС ΠΏΠΎΠ΄ΠΎΠ·Ρ€Π΅Π½ΠΈΠ΅ всС Π΅Ρ‰Π΅ ΠΌΠΎΠ³Π»Π° Π²Ρ‹Π·Π²Π°Ρ‚ΡŒ Π΅Π³ΠΎ ΠΈΠΊΠΎΠ½ΠΊΠ°, ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΠΎΠ²Π°Π²ΡˆΠ°Ρ VBS-скрипту.

На ΡΡ‚ΠΎΠΌ этапС ΠΆΠ΅Ρ€Ρ‚Π²Π° ΠΌΠΎΠ³Π»Π° Ρ€Π°ΡΠΏΠΎΠ·Π½Π°Ρ‚ΡŒ ΠΎΠ±ΠΌΠ°Π½: достаточно Π½Π° ΡΠ΅ΠΊΡƒΠ½Π΄Ρƒ ΠΏΡ€ΠΈΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒΡΡ ΠΊ ΡΠΊΠ°Ρ‡ΠΈΠ²Π°Π΅ΠΌΡ‹ΠΌ Ρ„Π°ΠΉΠ»Π°ΠΌ. Однако Π² Ρ‚Π°ΠΊΠΈΡ… Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Ρ… кампаниях Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ Π·Π°Ρ‡Π°ΡΡ‚ΡƒΡŽ Ρ€Π°ΡΡΡ‡ΠΈΡ‚Ρ‹Π²Π°ΡŽΡ‚ ΠΈΠΌΠ΅Π½Π½ΠΎ Π½Π° Π½Π΅Π²Π½ΠΈΠΌΠ°Ρ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΈΠ»ΠΈ ΡΠΏΠ΅ΡˆΠ°Ρ‰Π΅Π³ΠΎ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ.

Π­Ρ‚Π°ΠΏ 2. Π Π°Π±ΠΎΡ‚Π° VBS-скрипта

VBS-скрипт, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ ΠΌΠΎΠ³ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΡŒ ΠΏΠΎ Π½Π΅ΠΎΡΡ‚ороТности, прописывал DLL-Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΡƒ Π² Ρ€Π΅Π΅ΡΡ‚Ρ€ Windows. Π‘ΠΊΡ€ΠΈΠΏΡ‚ Π±Ρ‹Π» обфусцирован: строки Π² Π½Π΅ΠΌ записаны Π² Π²ΠΈΠ΄Π΅ Π±Π°ΠΉΡ‚ΠΎΠ², Ρ€Π°Π·Π΄Π΅Π»Π΅Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½Ρ‹ΠΌ символом.

RATKing: новая кампания с троянами ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа
ΠŸΡ€ΠΈΠΌΠ΅Ρ€ обфусцированного скрипта

Алгоритм дСобфускации достаточно прост: ΠΈΠ· ΠΎΠ±Ρ„усцированной строки ΠΈΡΠΊΠ»ΡŽΡ‡Π°Π»ΡΡ ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ Ρ‚Ρ€Π΅Ρ‚ΠΈΠΉ символ, послС Ρ‡Π΅Π³ΠΎ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ дСкодировался ΠΈΠ· base16 Π² ΠΈΡΡ…ΠΎΠ΄Π½ΡƒΡŽ строку. НапримСр, ΠΈΠ· Π·Π½Π°Ρ‡Π΅Π½ΠΈΡ 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (Π²Ρ‹Π΄Π΅Π»Π΅Π½ΠΎ Π½Π° ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚Π΅ Π²Ρ‹ΡˆΠ΅) ΠΏΠΎΠ»ΡƒΡ‡Π°Π»Π°ΡΡŒ строка WScript.Shell.

Для дСобфускации строк ΠΌΡ‹ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π»ΠΈ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΡŽ Π½Π° Python:

def decode_str(data_enc):   
    return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))

НиТС Π½Π° ΡΡ‚Ρ€ΠΎΠΊΠ°Ρ… 9–10 Π²Ρ‹Π΄Π΅Π»Π΅Π½ΠΎ Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅, ΠΏΡ€ΠΈ дСобфускации ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ получался DLL-Ρ„Π°ΠΉΠ». ИмСнно ΠΎΠ½ Π·Π°ΠΏΡƒΡΠΊΠ°Π»ΡΡ Π½Π° ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΌ этапС с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ PowerShell.

RATKing: новая кампания с троянами ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа
Π‘Ρ‚Ρ€ΠΎΠΊΠ° с ΠΎΠ±Ρ„усцированным DLL

КаТдая функция Π² VBS-скриптС Π²Ρ‹ΠΏΠΎΠ»Π½ΡΠ»Π°ΡΡŒ ΠΏΠΎ ΠΌΠ΅Ρ€Π΅ дСобфускации строк.

ПослС запуска скрипта Π²Ρ‹Π·Ρ‹Π²Π°Π»Π°ΡΡŒ функция wscript.sleep — с Π΅Π΅ ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΠ»ΠΎΡΡŒ ΠΎΡ‚Π»ΠΎΠΆΠ΅Π½Π½ΠΎΠ΅ исполнСниС.

Π”Π°Π»Π΅Π΅ скрипт Ρ€Π°Π±ΠΎΡ‚Π°Π» с Ρ€Π΅Π΅ΡΡ‚Ρ€ΠΎΠΌ Windows. Он ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π» для этого Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΡŽ WMI. Π‘ Π΅Π΅ ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ создавался ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡, ΠΈ Π² Π΅Π³ΠΎ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ Π·Π°ΠΏΠΈΡΡ‹Π²Π°Π»ΠΎΡΡŒ Ρ‚Π΅Π»ΠΎ исполняСмого Ρ„Π°ΠΉΠ»Π°. ΠžΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΠ΅ ΠΊ Ρ€Π΅Π΅ΡΡ‚Ρ€Ρƒ Ρ‡Π΅Ρ€Π΅Π· WMI Π²Ρ‹ΠΏΠΎΠ»Π½ΡΠ»ΠΎΡΡŒ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΉ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹:

GetObject(winmgmts {impersonationLevel=impersonate}!\.rootdefault:StdRegProv)

RATKing: новая кампания с троянами ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа
Π—Π°ΠΏΠΈΡΡŒ, сдСланная Π² Ρ€Π΅Π΅ΡΡ‚Ρ€Π΅ VBS-скриптом

Π­Ρ‚Π°ΠΏ 3. Π Π°Π±ΠΎΡ‚Π° DLL-Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ

На Ρ‚Ρ€Π΅Ρ‚ΡŒΠ΅ΠΌ этапС врСдоносная DLL-Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ° Π·Π°Π³Ρ€ΡƒΠΆΠ°Π»Π° ΠΊΠΎΠ½Π΅Ρ‡Π½Ρ‹ΠΉ ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄, внСдряла Π΅Π³ΠΎ Π² ΡΠΈΡΡ‚Π΅ΠΌΠ½Ρ‹ΠΉ процСсс ΠΈ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°Π»Π° автозапуск VBS-скрипта ΠΏΡ€ΠΈ Π²Ρ…ΠΎΠ΄Π΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π² ΡΠΈΡΡ‚Π΅ΠΌΡƒ.

Запуск Ρ‡Π΅Ρ€Π΅Π· PowerShell

DLL-Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ° исполнялась с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΉ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ Π² PowerShell:

[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0

Π­Ρ‚Π° ΠΊΠΎΠΌΠ°Π½Π΄Π° Π΄Π΅Π»Π°Π»Π° ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅Π΅:

  • ΠΏΠΎΠ»ΡƒΡ‡Π°Π»Π° Π΄Π°Π½Π½Ρ‹Π΅ значСния рССстра с ΠΈΠΌΠ΅Π½Π΅ΠΌ rnd_value_name — эти Π΄Π°Π½Π½Ρ‹Π΅ прСдставляли собой DLL-Ρ„Π°ΠΉΠ», написанный Π½Π° ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ΅ .Net;
  • Π·Π°Π³Ρ€ΡƒΠΆΠ°Π»Π° ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π½Ρ‹ΠΉ .Net-ΠΌΠΎΠ΄ΡƒΠ»ΡŒ Π² ΠΏΠ°ΠΌΡΡ‚ΡŒ процСсса powershell.exe Ρ ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ [System.Threading.Thread]::GetDomain().Load() (ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎΠ΅ описаниС Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ Load() доступно Π½Π° ΡΠ°ΠΉΡ‚Π΅ Microsoft);
  • исполняла Ρ„ΡƒΠ½ΠΊΡ†ΠΈΡŽ GUyyvmzVhebFCw]::EhwwK() — с Π½Π΅Π΅ Π½Π°Ρ‡ΠΈΠ½Π°Π»ΠΎΡΡŒ исполнСниС DLL‑библиотСки — с ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°ΠΌΠΈ vbsScriptPath, xorKey, vbsScriptName. ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ xorKey Ρ…Ρ€Π°Π½ΠΈΠ» ΠΊΠ»ΡŽΡ‡ для Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²ΠΊΠΈ ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎΠ³ΠΎ ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄Π°, Π° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ vbsScriptPath ΠΈ vbsScriptName ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π»ΠΈΡΡŒ для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΡ€ΠΎΠΏΠΈΡΠ°Ρ‚ΡŒ VBS-скрипт Π² Π°Π²Ρ‚озапуск.

ОписаниС DLL-Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ

Π’ Π΄Π΅ΠΊΠΎΠΌΠΏΠΈΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΌ Π²ΠΈΠ΄Π΅ Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ выглядСл Ρ‚Π°ΠΊ:

RATKing: новая кампания с троянами ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа
Π—Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ Π² Π΄Π΅ΠΊΠΎΠΌΠΏΠΈΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΌ Π²ΠΈΠ΄Π΅ (красным ΠΏΠΎΠ΄Ρ‡Π΅Ρ€ΠΊΠ½ΡƒΡ‚Π° функция, с ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π½Π°Ρ‡ΠΈΠ½Π°Π»ΠΎΡΡŒ исполнСниС DLL-Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ)

Π—Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ Π·Π°Ρ‰ΠΈΡ‰Π΅Π½ ΠΏΡ€ΠΎΡ‚Π΅ΠΊΡ‚ΠΎΡ€ΠΎΠΌ .Net Reactor. Π‘ΠΎ ΡΠ½ΡΡ‚ΠΈΠ΅ΠΌ Π΄Π°Π½Π½ΠΎΠ³ΠΎ ΠΏΡ€ΠΎΡ‚Π΅ΠΊΡ‚ΠΎΡ€Π° ΠΎΡ‚Π»ΠΈΡ‡Π½ΠΎ справляСтся ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Π° de4dot.

Π”Π°Π½Π½Ρ‹ΠΉ Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ:

  • осущСствлял ΠΈΠ½ΠΆΠ΅ΠΊΡ‚ ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄Π° Π² ΡΠΈΡΡ‚Π΅ΠΌΠ½Ρ‹ΠΉ процСсс (Π² Π΄Π°Π½Π½ΠΎΠΌ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ это svchost.exe);
  • прописывал VBS-скрипт Π² Π°Π²Ρ‚озапуск.

Π˜Π½ΠΆΠ΅ΠΊΡ‚ ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄Π°

Рассмотрим Ρ„ΡƒΠ½ΠΊΡ†ΠΈΡŽ, ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ Π²Ρ‹Π·Ρ‹Π²Π°Π» PowerShell-скрипт.

RATKing: новая кампания с троянами ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа
Ѐункция, вызываСмая PowerShell-скриптом

Данная функция осущСствляла ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ дСйствия:

  • Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²Ρ‹Π²Π°Π»Π° Π΄Π²Π° массива Π΄Π°Π½Π½Ρ‹Ρ… (array ΠΈ array2 Π½Π° ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚Π΅). ΠŸΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ ΠΎΠ½ΠΈ Π±Ρ‹Π»ΠΈ сТаты с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ gzip ΠΈ Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Ρ‹ Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠΎΠΌ XOR с ΠΊΠ»ΡŽΡ‡ΠΎΠΌ xorKey;
  • ΠΊΠΎΠΏΠΈΡ€ΠΎΠ²Π°Π»Π° Π΄Π°Π½Π½Ρ‹Π΅ Π² Π²Ρ‹Π΄Π΅Π»Π΅Π½Π½Ρ‹Π΅ области памяти. Π”Π°Π½Π½Ρ‹Π΅ ΠΈΠ· array — Π² ΠΎΠ±Π»Π°ΡΡ‚ΡŒ памяти, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π» intPtr (payload pointer Π½Π° ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚Π΅); Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ· array2 — Π² ΠΎΠ±Π»Π°ΡΡ‚ΡŒ памяти, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π» intPtr2 (shellcode pointer Π½Π° ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚Π΅);
  • Π²Ρ‹Π·Ρ‹Π²Π°Π»Π° Ρ„ΡƒΠ½ΠΊΡ†ΠΈΡŽ CallWindowProcA (описаниС этой Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ Π΅ΡΡ‚ΡŒ Π½Π° ΡΠ°ΠΉΡ‚Π΅ Microsoft) со ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΌΠΈ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°ΠΌΠΈ (Π½ΠΈΠΆΠ΅ пСрСчислСны ΠΈΠΌΠ΅Π½Π° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ², Π½Π° ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚Π΅ ΠΎΠ½ΠΈ ΠΈΠ΄ΡƒΡ‚ Π² Ρ‚ΠΎΠΌ ΠΆΠ΅ порядкС, Π½ΠΎ Ρ Ρ€Π°Π±ΠΎΡ‡ΠΈΠΌΠΈ значСниями):
    • lpPrevWndFunc — ΡƒΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒ Π½Π° Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ· array2;
    • hWnd — ΡƒΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒ Π½Π° ΡΡ‚Ρ€ΠΎΠΊΡƒ, ΡΠΎΠ΄Π΅Ρ€ΠΆΠ°Ρ‰ΡƒΡŽ ΠΏΡƒΡ‚ΡŒ ΠΊ ΠΈΡΠΏΠΎΠ»Π½ΡΠ΅ΠΌΠΎΠΌΡƒ Ρ„Π°ΠΉΠ»Ρƒ svchost.exe;
    • Msg — ΡƒΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒ Π½Π° Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ· array;
    • wParamlParam — ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ сообщСния (Π² Π΄Π°Π½Π½ΠΎΠΌ случаС эти ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ Π½Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π»ΠΈΡΡŒ ΠΈ ΠΈΠΌΠ΅Π»ΠΈ значСния 0);
  • создавала Ρ„Π°ΠΉΠ» %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.url, Π³Π΄Π΅ <name> — это ΠΏΠ΅Ρ€Π²Ρ‹Π΅ 4 ΡΠΈΠΌΠ²ΠΎΠ»Π° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° vbsScriptName (Π½Π° ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚Π΅ Ρ„Ρ€Π°Π³ΠΌΠ΅Π½Ρ‚ ΠΊΠΎΠ΄Π° с ΡΡ‚ΠΈΠΌ дСйствиСм начинаСтся с ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ File.Copy). Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ врСдонос добавлял URL-Ρ„Π°ΠΉΠ» Π² ΡΠΏΠΈΡΠΎΠΊ Ρ„Π°ΠΉΠ»ΠΎΠ² для автозапуска ΠΏΡ€ΠΈ Π²Ρ…ΠΎΠ΄Π΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π² ΡΠΈΡΡ‚Π΅ΠΌΡƒ ΠΈ Ρ‚Π΅ΠΌ самым закрСплялся Π½Π° Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½ΠΎΠΌ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π΅. URL-Ρ„Π°ΠΉΠ» содСрТал ссылку Π½Π° ΡΠΊΡ€ΠΈΠΏΡ‚:

[InternetShortcut]
URL = file : ///<vbsScriptPath>

Для понимания Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊ осущСствлялся ΠΈΠ½ΠΆΠ΅ΠΊΡ‚, ΠΌΡ‹ Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΠΈ массивы Π΄Π°Π½Π½Ρ‹Ρ… array ΠΈ array2. Для этого ΠΌΡ‹ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π»ΠΈ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΡƒΡŽ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΡŽ Π½Π° Python:

def decrypt(data, key):
    return gzip.decompress(
        bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
    

Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ ΠΌΡ‹ Π²Ρ‹ΡΡΠ½ΠΈΠ»ΠΈ, Ρ‡Ρ‚ΠΎ:

  • array прСдставлял собой PE-Ρ„Π°ΠΉΠ» — это ΠΈ Π΅ΡΡ‚ΡŒ ΠΊΠΎΠ½Π΅Ρ‡Π½Ρ‹ΠΉ ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄;
  • array2 прСдставлял собой шСлл-ΠΊΠΎΠ΄, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹ΠΉ для осущСствлСния ΠΈΠ½ΠΆΠ΅ΠΊΡ‚Π°.

Π¨Π΅Π»Π»-ΠΊΠΎΠ΄ ΠΈΠ· ΠΌΠ°ΡΡΠΈΠ²Π° array2 пСрСдавался Π² ΠΊΠ°Ρ‡Π΅ΡΡ‚Π²Π΅ значСния Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ lpPrevWndFunc Π² Ρ„ΡƒΠ½ΠΊΡ†ΠΈΡŽ CallWindowProcA. lpPrevWndFunc — функция ΠΎΠ±Ρ€Π°Ρ‚Π½ΠΎΠ³ΠΎ Π²Ρ‹Π·ΠΎΠ²Π°, Π΅Π΅ ΠΏΡ€ΠΎΡ‚ΠΎΡ‚ΠΈΠΏ выглядит Ρ‚Π°ΠΊ:

LRESULT WndFunc(
  HWND    hWnd,
  UINT    Msg,
  WPARAM  wParam,
  LPARAM  lParam
);

Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, ΠΏΡ€ΠΈ запускС Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ CallWindowProcA с ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°ΠΌΠΈ hWnd, Msg, wParam, lParam ΠΈΡΠΏΠΎΠ»Π½ΡΠ΅Ρ‚ся шСлл-ΠΊΠΎΠ΄ ΠΈΠ· ΠΌΠ°ΡΡΠΈΠ²Π° array2 с Π°Ρ€Π³ΡƒΠΌΠ΅Π½Ρ‚Π°ΠΌΠΈ hWnd ΠΈ Msg. hWnd — это ΡƒΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒ Π½Π° ΡΡ‚Ρ€ΠΎΠΊΡƒ, ΡΠΎΠ΄Π΅Ρ€ΠΆΠ°Ρ‰ΡƒΡŽ ΠΏΡƒΡ‚ΡŒ ΠΊ ΠΈΡΠΏΠΎΠ»Π½ΡΠ΅ΠΌΠΎΠΌΡƒ Ρ„Π°ΠΉΠ»Ρƒ svchost.exe, Π° Msg — ΡƒΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒ Π½Π° ΠΊΠΎΠ½Π΅Ρ‡Π½Ρ‹ΠΉ ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄.

Π¨Π΅Π»Π»-ΠΊΠΎΠ΄ ΠΏΠΎΠ»ΡƒΡ‡Π°Π» адрСса Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΉ ΠΈΠ· kernel32.dll ΠΈ ntdll32.dll ΠΏΠΎ Π·Π½Π°Ρ‡Π΅Π½ΠΈΡΠΌ Ρ…Π΅ΡˆΠ΅ΠΉ ΠΎΡ‚ ΠΈΡ… ΠΈΠΌΠ΅Π½ ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΠ» ΠΈΠ½ΠΆΠ΅ΠΊΡ‚ ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎΠ³ΠΎ ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄Π° Π² ΠΏΠ°ΠΌΡΡ‚ΡŒ процСсса svchost.exe, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ Ρ‚Π΅Ρ…Π½ΠΈΠΊΡƒ Process Hollowing (ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎ ΠΎ Π½Π΅ΠΉ ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€ΠΎΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ Π² ΡΡ‚ΠΎΠΉ ΡΡ‚Π°Ρ‚ΡŒΠ΅). ΠŸΡ€ΠΈ ΠΈΠ½ΠΆΠ΅ΠΊΡ‚Π΅ шСлл-ΠΊΠΎΠ΄:

  • создавал процСсс svchost.exe Π² ΠΏΡ€ΠΈΠΎΡΡ‚Π°Π½ΠΎΠ²Π»Π΅Π½Π½ΠΎΠΌ состоянии ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ CreateProcessW;
  • Π·Π°Ρ‚Π΅ΠΌ скрывал ΠΎΡ‚ΠΎΠ±Ρ€Π°ΠΆΠ΅Π½ΠΈΠ΅ сСкции Π² Π°Π΄Ρ€Π΅ΡΠ½ΠΎΠΌ пространствС процСсса svchost.exe ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ NtUnmapViewOfSection. Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ° освобоТдала ΠΏΠ°ΠΌΡΡ‚ΡŒ ΠΎΡ€ΠΈΠ³ΠΈΠ½Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ процСсса svchost.exe, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π·Π°Ρ‚Π΅ΠΌ ΠΏΠΎ ΡΡ‚ΠΎΠΌΡƒ адрСсу Π²Ρ‹Π΄Π΅Π»ΠΈΡ‚ΡŒ ΠΏΠ°ΠΌΡΡ‚ΡŒ для ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄Π°;
  • выдСлял ΠΏΠ°ΠΌΡΡ‚ΡŒ для ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄Π° Π² Π°Π΄Ρ€Π΅ΡΠ½ΠΎΠΌ пространствС процСсса svchost.exe ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ VirtualAllocEx;

RATKing: новая кампания с троянами ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа
Начало процСсса ΠΈΠ½ΠΆΠ΅ΠΊΡ‚Π°

  • записывал содСрТимоС ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄Π° Π² Π°Π΄Ρ€Π΅ΡΠ½ΠΎΠ΅ пространство процСсса svchost.exe ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ WriteProcessMemory (ΠΊΠ°ΠΊ Π½Π° ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚Π΅ Π½ΠΈΠΆΠ΅);
  • возобновлял процСсс svchost.exe ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ ResumeThread.

RATKing: новая кампания с троянами ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа
Π—Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΠ΅ процСсса ΠΈΠ½ΠΆΠ΅ΠΊΡ‚Π°

Π—Π°Π³Ρ€ΡƒΠΆΠ°Π΅ΠΌΠΎΠ΅ Π’ΠŸΠž

Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ описанных дСйствий Π² Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½ΠΎΠΉ систСмС ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Π»Π°ΡΡŒ ΠΎΠ΄Π½Π° ΠΈΠ· Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… врСдоносных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ класса RAT. Π’ Ρ‚Π°Π±Π»ΠΈΡ†Π΅ Π½ΠΈΠΆΠ΅ пСрСчислСны ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Π½Ρ‹Π΅ Π² Π°Ρ‚Π°ΠΊΠ΅ врСдоносы, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΡ‹ Ρ ΡƒΠ²Π΅Ρ€Π΅Π½Π½ΠΎΡΡ‚ΡŒΡŽ ΠΌΠΎΠΆΠ΅ΠΌ ΠΏΡ€ΠΈΠΏΠΈΡΠ°Ρ‚ΡŒ ΠΎΠ΄Π½ΠΎΠΉ Π³Ρ€ΡƒΠΏΠΏΠ΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ², ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ сСмплы ΠΎΠ±Ρ€Π°Ρ‰Π°Π»ΠΈΡΡŒ ΠΊ ΠΎΠ΄Π½ΠΎΠΌΡƒ ΠΈ Ρ‚ΠΎΠΌΡƒ ΠΆΠ΅ сСрвСру управлСния.

НазваниС Π’ΠŸΠž

Π’ΠΏΠ΅Ρ€Π²Ρ‹Π΅ Π·Π°ΠΌΠ΅Ρ‡Π΅Π½ΠΎ

SHA-256

C&C

ΠŸΡ€ΠΎΡ†Π΅ΡΡ, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ осущСствляСтся ΠΈΠ½ΠΆΠ΅ΠΊΡ‚

Darktrack

16-04-2020

ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702

kimjoy007.dyndns[.]org:2017

svchost

Parallax

24-04-2020

b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043

kimjoy007.dyndns[.]org:2019

svchost

WARZONE

18-05-2020

3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3

kimjoy007.dyndns[.]org:9933

svchost

Netwire

20-05-2020

6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d

kimjoy007.dyndns[.]org:2000

svchost

ΠŸΡ€ΠΈΠΌΠ΅Ρ€Ρ‹ распространяСмого Π’ΠŸΠž с ΠΎΠ΄Π½ΠΈΠΌ ΠΈ Ρ‚Π΅ΠΌ ΠΆΠ΅ сСрвСром управлСния

Π—Π΄Π΅ΡΡŒ ΠΏΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹ Π΄Π²Π΅ Π²Π΅Ρ‰ΠΈ.

Π’ΠΎ-ΠΏΠ΅Ρ€Π²Ρ‹Ρ…, сам Ρ„Π°ΠΊΡ‚, Ρ‡Ρ‚ΠΎ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ использовали сразу нСсколько Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… сСмСйств RAT. Π’Π°ΠΊΠΎΠ΅ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ Π½Π΅ Ρ…Π°Ρ€Π°ΠΊΡ‚Π΅Ρ€Π½ΠΎ для извСстных ΠΊΠΈΠ±Π΅Ρ€Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΎΠΊ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π·Π°Ρ‡Π°ΡΡ‚ΡƒΡŽ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ ΠΏΡ€ΠΈΠ±Π»ΠΈΠ·ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΎΠ΄ΠΈΠ½Π°ΠΊΠΎΠ²Ρ‹ΠΉ Π½Π°Π±ΠΎΡ€ ΠΏΡ€ΠΈΠ²Ρ‹Ρ‡Π½Ρ‹Ρ… для Π½ΠΈΡ… инструмСнтов.

Π’ΠΎ-Π²Ρ‚ΠΎΡ€Ρ‹Ρ…, RATKing использовали врСдоносы, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π»ΠΈΠ±ΠΎ ΠΏΡ€ΠΎΠ΄Π°ΡŽΡ‚ΡΡ Π½Π° ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… Ρ„ΠΎΡ€ΡƒΠΌΠ°Ρ… Π·Π° Π½Π΅Π±ΠΎΠ»ΡŒΡˆΡƒΡŽ Ρ†Π΅Π½Ρƒ, Π»ΠΈΠ±ΠΎ ΠΈ Π²ΠΎΠ²ΡΠ΅ ΡΠ²Π»ΡΡŽΡ‚ΡΡ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π°ΠΌΠΈ с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ.

Π‘ΠΎΠ»Π΅Π΅ ΠΏΠΎΠ»Π½Ρ‹ΠΉ ΠΏΠ΅Ρ€Π΅Ρ‡Π΅Π½ΡŒ использованного Π² ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ Π’ΠŸΠž — с ΠΎΠ΄Π½ΠΎΠΉ Π²Π°ΠΆΠ½ΠΎΠΉ ΠΎΠ³ΠΎΠ²ΠΎΡ€ΠΊΠΎΠΉ — ΠΏΡ€ΠΈΠ²Π΅Π΄Π΅Π½ Π² ΠΊΠΎΠ½Ρ†Π΅ ΡΡ‚Π°Ρ‚ΡŒΠΈ.

О Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠ΅

ΠœΡ‹ Π½Π΅ ΠΌΠΎΠΆΠ΅ΠΌ отнСсти ΠΎΠΏΠΈΡΠ°Π½Π½ΡƒΡŽ Π²Ρ€Π΅Π΄ΠΎΠ½ΠΎΡΠ½ΡƒΡŽ кампанию ΠΊ ΠΊΠ°ΠΊΠΈΠΌ-Π»ΠΈΠ±ΠΎ извСстным Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ. Пока ΠΌΡ‹ ΡΡ‡ΠΈΡ‚Π°Π΅ΠΌ, Ρ‡Ρ‚ΠΎ эти Π°Ρ‚Π°ΠΊΠΈ ΡΠΎΠ²Π΅Ρ€ΡˆΠΈΠ»Π° ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠΈΠ°Π»ΡŒΠ½ΠΎ новая Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠ°. Как ΠΌΡ‹ ΡƒΠΆΠ΅ писали Π² Π½Π°Ρ‡Π°Π»Π΅, ΠΌΡ‹ Π½Π°Π·Π²Π°Π»ΠΈ Π΅Π΅ RATKing.

Для создания VBS-скрипта Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠ°, вСроятно, использовала инструмСнт, ΠΏΠΎΡ…ΠΎΠΆΠΈΠΉ Π½Π° ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρƒ VBS-Crypter ΠΎΡ‚ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ° NYAN-x-CAT. На ΡΡ‚ΠΎ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ ΡΡ…ΠΎΠΆΠ΅ΡΡ‚ΡŒ скрипта, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ создаСт эта ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ°, со ΡΠΊΡ€ΠΈΠΏΡ‚ΠΎΠΌ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ². Π’ Ρ‡Π°ΡΡ‚ности, ΠΎΠ½ΠΈ ΠΎΠ±Π°:

  • ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡŽΡ‚ ΠΎΡ‚Π»ΠΎΠΆΠ΅Π½Π½ΠΎΠ΅ исполнСниС с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ Sleep;
  • ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ WMI;
  • ΠΏΡ€ΠΎΠΏΠΈΡΡ‹Π²Π°ΡŽΡ‚ Ρ‚Π΅Π»ΠΎ исполняСмого Ρ„Π°ΠΉΠ»Π° Π² ΠΊΠ°Ρ‡Π΅ΡΡ‚Π²Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° ΠΊΠ»ΡŽΡ‡Π° рССстра;
  • ΠΈΡΠΏΠΎΠ»Π½ΡΡŽΡ‚ этот Ρ„Π°ΠΉΠ» ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ PowerShell Π² Π΅Π³ΠΎ ΠΆΠ΅ адрСсном пространствС.

Для наглядности сравнитС ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ PowerShell для запуска Ρ„Π°ΠΉΠ»Π° ΠΈΠ· Ρ€Π΅Π΅ΡΡ‚Ρ€Π°, ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ скрипт, созданный с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ VBS-Crypter:

((Get-ItemPropertyHKCU:SoftwareNYANxCAT).NYANxCAT);$text=-join$text[-1..-$text.Length];[AppDomain]::CurrentDomain.Load([Convert]::FromBase64String($text)).EntryPoint.Invoke($Null,$Null);

с Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½ΠΎΠΉ ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ, ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ использовал скрипт Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ²:

[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0

Π—Π°ΠΌΠ΅Ρ‚ΠΈΠΌ, Ρ‡Ρ‚ΠΎ Π² ΠΊΠ°Ρ‡Π΅ΡΡ‚Π²Π΅ ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΠΈΠ· ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄ΠΎΠ² Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ использовали Π΄Ρ€ΡƒΠ³ΡƒΡŽ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρƒ ΠΎΡ‚ NYAN-x-CAT — LimeRAT.

АдрСса C&C-сСрвСров ΡƒΠΊΠ°Π·Ρ‹Π²Π°ΡŽΡ‚ Π½Π° Π΅Ρ‰Π΅ ΠΎΠ΄Π½Ρƒ ΠΎΡ‚Π»ΠΈΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΡƒΡŽ Ρ‡Π΅Ρ€Ρ‚Ρƒ RATKing: Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠ° ΠΏΡ€Π΅Π΄ΠΏΠΎΡ‡ΠΈΡ‚Π°Π΅Ρ‚ сСрвисы динамичСского DNS (см. ΠΏΠ΅Ρ€Π΅Ρ‡Π΅Π½ΡŒ C&C Π² Ρ‚Π°Π±Π»ΠΈΡ†Π΅ с IoC).

IoC

Π’ Ρ‚Π°Π±Π»ΠΈΡ†Π΅ Π½ΠΈΠΆΠ΅ ΠΏΡ€ΠΈΠ²Π΅Π΄Π΅Π½ ΠΏΠΎΠ»Π½Ρ‹ΠΉ ΠΏΠ΅Ρ€Π΅Ρ‡Π΅Π½ΡŒ VBS-скриптов, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ с Π±ΠΎΠ»ΡŒΡˆΠΎΠΉ Π²Π΅Ρ€ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒΡŽ ΠΌΠΎΠΆΠ½ΠΎ отнСсти ΠΊ ΠΎΠΏΠΈΡΠ°Π½Π½ΠΎΠΉ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ. ВсС эти скрипты ΠΏΠΎΡ…ΠΎΠΆΠΈ ΠΈ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡŽΡ‚ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ ΠΎΠ΄ΠΈΠ½Π°ΠΊΠΎΠ²ΡƒΡŽ ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ дСйствий. ВсС ΠΎΠ½ΠΈ инТСктят Π’ΠŸΠž класса RAT Π² Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹ΠΉ процСсс Windows. Π£ Π²ΡΠ΅Ρ… Π½ΠΈΡ… адрСса C&C зарСгистрированы с ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ Dynamic DNS-сСрвисов.

Π’Π΅ΠΌ Π½Π΅ ΠΌΠ΅Π½Π΅Π΅, ΠΌΡ‹ Π½Π΅ ΠΌΠΎΠΆΠ΅ΠΌ ΡƒΡ‚Π²Π΅Ρ€ΠΆΠ΄Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ всС эти скрипты Ρ€Π°ΡΠΏΡ€ΠΎΡΡ‚Ρ€Π°Π½ΡΠ»ΠΈΡΡŒ ΠΎΠ΄Π½ΠΈΠΌΠΈ ΠΈ Ρ‚Π΅ΠΌΠΈ ΠΆΠ΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ, Π·Π° ΠΈΡΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ΠΌ сСмплов с ΠΎΠ΄ΠΈΠ½Π°ΠΊΠΎΠ²Ρ‹ΠΌΠΈ адрСсами C&C (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, kimjoy007.dyndns.org).

НазваниС Π’ΠŸΠž

SHA-256

C&C

ΠŸΡ€ΠΎΡ†Π΅ΡΡ, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ осущСствляСтся ΠΈΠ½ΠΆΠ΅ΠΊΡ‚

Parallax

b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043

kimjoy007.dyndns.org

svchost

00edb8200dfeee3bdd0086c5e8e07c6056d322df913679a9f22a2b00b836fd72

hope.doomdns.org

svchost

504cbae901c4b3987aa9ba458a230944cb8bd96bbf778ceb54c773b781346146

kimjoy007.dyndns.org

svchost

1487017e087b75ad930baa8b017e8388d1e99c75d26b5d1deec8b80e9333f189

kimjoy007.dyndns.org

svchost

c4160ec3c8ad01539f1c16fb35ed9c8c5a53a8fda8877f0d5e044241ea805891

franco20.dvrdns.org

svchost

515249d6813bb2dde1723d35ee8eb6eeb8775014ca629ede017c3d83a77634ce

kimjoy007.dyndns.org

svchost

1b70f6fee760bcfe0c457f0a85ca451ed66e61f0e340d830f382c5d2f7ab803f

franco20.dvrdns.org

svchost

b2bdffa5853f29c881d7d9bff91b640bc1c90e996f85406be3b36b2500f61aa1

hope.doomdns.org

svchost

c9745a8f33b3841fe7bfafd21ad4678d46fe6ea6125a8fedfcd2d5aee13f1601

kimjoy007.dyndns.org

svchost

1dfc66968527fbd4c0df2ea34c577a7ce7a2ba9b54ba00be62120cc88035fa65

franco20.dvrdns.org

svchost

c6c05f21e16e488eed3001d0d9dd9c49366779559ad77fcd233de15b1773c981

kimjoy007.dyndns.org

cmd

3b785cdcd69a96902ee62499c25138a70e81f14b6b989a2f81d82239a19a3aed

hope.doomdns.org

svchost

4d71ceb9d6c53ac356c0f5bdfd1a5b28981061be87e38e077ee3a419e4c476f9

2004para.ddns.net

svchost

00185cc085f284ece264e3263c7771073a65783c250c5fd9afc7a85ed94acc77

hope.doomdns.org

svchost

0342107c0d2a069100e87ef5415e90fd86b1b1b1c975d0eb04ab1489e198fc78

franco20.dvrdns.org

svchost

de33b7a7b059599dc62337f92ceba644ac7b09f60d06324ecf6177fff06b8d10

kimjoy007.dyndns.org

svchost

80a8114d63606e225e620c64ad8e28c9996caaa9a9e87dd602c8f920c2197007

kimjoy007.dyndns.org

svchost

acb157ba5a48631e1f9f269e6282f042666098614b66129224d213e27c1149bb

hope.doomdns.org

cmd

bf608318018dc10016b438f851aab719ea0abe6afc166c8aea6b04f2320896d3

franco20.dvrdns.org

svchost

4d0c9b8ad097d35b447d715a815c67ff3d78638b305776cde4d90bfdcb368e38

hope.doomdns.org

svchost

e7c676f5be41d49296454cd6e4280d89e37f506d84d57b22f0be0d87625568ba

kimjoy007.dyndns.org

svchost

9375d54fcda9c7d65f861dfda698e25710fda75b5ebfc7a238599f4b0d34205f

franco20.dvrdns.org

svchost

128367797fdf3c952831c2472f7a308f345ca04aa67b3f82b945cfea2ae11ce5

kimjoy007.dyndns.org

svchost

09bd720880461cb6e996046c7d6a1c937aa1c99bd19582a562053782600da79d

hope.doomdns.org

svchost

0a176164d2e1d5e2288881cc2e2d88800801001d03caedd524db365513e11276

paradickhead.homeip.net

svchost

0af5194950187fd7cbd75b1b39aab6e1e78dae7c216d08512755849c6a0d1cbe

hope.doomdns.org

svchost

Warzone

3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3

kimjoy007.dyndns.org

svchost

db0d5a67a0ced6b2de3ee7d7fc845a34b9d6ca608e5fead7f16c9a640fa659eb

kimjoy007.dyndns.org

svchost

Netwire

6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d

kimjoy007.dyndns.org

svchost

Darktrack

ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702

kimjoy007.dyndns.org

svchost

WSH RAT

d410ced15c848825dcf75d30808cde7784e5b208f9a57b0896e828f890faea0e

anekesolution.linkpc.net

RegAsm

Lime

896604d27d88c75a475b28e88e54104e66f480bcab89cc75b6cdc6b29f8e438b

softmy.duckdns.org

RegAsm

QuasarRAT

bd1e29e9d17edbab41c3634649da5c5d20375f055ccf968c022811cd9624be57

darkhate-23030.portmap.io

RegAsm

12044aa527742282ad5154a4de24e55c9e1fae42ef844ed6f2f890296122153b

darkhate-23030.portmap.io

RegAsm

be93cc77d864dafd7d8c21317722879b65cfbb3297416bde6ca6edbfd8166572

darkhate-23030.portmap.io

RegAsm

933a136f8969707a84a61f711018cd21ee891d5793216e063ac961b5d165f6c0

darkhate-23030.portmap.io

RegAsm

71dea554d93728cce8074dbdb4f63ceb072d4bb644f0718420f780398dafd943

chrom1.myq-see.com

RegAsm

0d344e8d72d752c06dc6a7f3abf2ff7678925fde872756bf78713027e1e332d5

darkhate-23030.portmap.io

RegAsm

0ed7f282fd242c3f2de949650c9253373265e9152c034c7df3f5f91769c6a4eb

darkhate-23030.portmap.io

RegAsm

aabb6759ce408ebfa2cc57702b14adaec933d8e4821abceaef0c1af3263b1bfa

darkhate-23030.portmap.io

RegAsm

1699a37ddcf4769111daf33b7d313cf376f47e92f6b92b2119bd0c860539f745

darkhate-23030.portmap.io

RegAsm

3472597945f3bbf84e735a778fd75c57855bb86aca9b0a4d0e4049817b508c8c

darkhate-23030.portmap.io

RegAsm

809010d8823da84cdbb2c8e6b70be725a6023c381041ebda8b125d1a6a71e9b1

darkhate-23030.portmap.io

RegAsm

4217a2da69f663f1ab42ebac61978014ec4f562501efb2e040db7ebb223a7dff

darkhate-23030.portmap.io

RegAsm

08f34b3088af792a95c49bcb9aa016d4660609409663bf1b51f4c331b87bae00

darkhate-23030.portmap.io

RegAsm

79b4efcce84e9e7a2e85df7b0327406bee0b359ad1445b4f08e390309ea0c90d

darkhate-23030.portmap.io

RegAsm

12ea7ce04e0177a71a551e6d61e4a7916b1709729b2d3e9daf7b1bdd0785f63a

darkhate-23030.portmap.io

RegAsm

d7b8eb42ae35e9cc46744f1285557423f24666db1bde92bf7679f0ce7b389af9

darkhate-23030.portmap.io

RegAsm

def09b0fed3360c457257266cb851fffd8c844bc04a623c210a2efafdf000d5c

darkhate-23030.portmap.io

RegAsm

50119497c5f919a7e816a37178d28906fb3171b07fc869961ef92601ceca4c1c

darkhate-23030.portmap.io

RegAsm

ade5a2f25f603bf4502efa800d3cf5d19d1f0d69499b0f2e9ec7c85c6dd49621

darkhate-23030.portmap.io

RegAsm

189d5813c931889190881ee34749d390e3baa80b2c67b426b10b3666c3cc64b7

darkhate-23030.portmap.io

RegAsm

c3193dd67650723753289a4aebf97d4c72a1afe73c7135bee91c77bdf1517f21

darkhate-23030.portmap.io

RegAsm

a6f814f14698141753fc6fb7850ead9af2ebcb0e32ab99236a733ddb03b9eec2

darkhate-23030.portmap.io

RegAsm

a55116253624641544175a30c956dbd0638b714ff97b9de0e24145720dcfdf74

darkhate-23030.portmap.io

RegAsm

d6e0f0fb460d9108397850169112bd90a372f66d87b028e522184682a825d213

darkhate-23030.portmap.io

RegAsm

522ba6a242c35e2bf8303e99f03a85d867496bbb0572226e226af48cc1461a86

darkhate-23030.portmap.io

RegAsm

fabfdc209b02fe522f81356680db89f8861583da89984c20273904e0cf9f4a02

darkhate-23030.portmap.io

RegAsm

08ec13b7da6e0d645e4508b19ba616e4cf4e0421aa8e26ac7f69e13dc8796691

darkhate-23030.portmap.io

RegAsm

8433c75730578f963556ec99fbc8d97fa63a522cef71933f260f385c76a8ee8d

darkhate-23030.portmap.io

RegAsm

99f6bfd9edb9bf108b11c149dd59346484c7418fc4c455401c15c8ac74b70c74

darkhate-23030.portmap.io

RegAsm

d13520e48f0ff745e31a1dfd6f15ab56c9faecb51f3d5d3d87f6f2e1abe6b5cf

darkhate-23030.portmap.io

RegAsm

9e6978b16bd52fcd9c331839545c943adc87e0fbd7b3f947bab22ffdd309f747

darkhate-23030.portmap.io

RegAsm⁠

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ