рдореЗ рдорд╣рд┐рдиреНрдпрд╛рдЪреНрдпрд╛ рд╢реЗрд╡рдЯреА, рдЖрдореНрд╣рд╛рд▓рд╛ рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрди (RAT) рдорд╛рд▓рд╡реЗрдЕрд░-рдкреНрд░реЛрдЧреНрд░рд╛рдордЪреЗ рд╡рд┐рддрд░рдг рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдПрдХ рдореЛрд╣реАрдо рд╕рд╛рдкрдбрд▓реА рдЬреА рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдВрдирд╛ рд╕рдВрдХреНрд░рдорд┐рдд рдкреНрд░рдгрд╛рд▓реА рджреВрд░рд╕реНрдердкрдгреЗ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░рдгреНрдпрд╛рд╕ рдЕрдиреБрдорддреА рджреЗрддреЗ.
рдЖрдореНрд╣реА рддрдкрд╛рд╕рд▓реЗрд▓рд╛ рдЧрдЯ рдпрд╛ рд╡рд╕реНрддреБрд╕реНрдерд┐рддреАрджреНрд╡рд╛рд░реЗ рдУрд│рдЦрд▓рд╛ рдЧреЗрд▓рд╛ рдХреА рддреНрдпрд╛рдиреЗ рд╕рдВрдХреНрд░рдордгрд╛рд╕рд╛рдареА рдХреЛрдгрддреЗрд╣реА рд╡рд┐рд╢рд┐рд╖реНрдЯ RAT рдХреБрдЯреБрдВрдм рдирд┐рд╡рдбрд▓реЗ рдирд╛рд╣реА. рдореЛрд╣рд┐рдореЗрддреАрд▓ рд╣рд▓реНрд▓реНрдпрд╛рдВрдордзреНрдпреЗ рдЕрдиреЗрдХ рдЯреНрд░реЛрдЬрди рдЖрдврд│реВрди рдЖрд▓реЗ (рдЬреЗ рд╕рд░реНрд╡ рдореЛрдареНрдпрд╛ рдкреНрд░рдорд╛рдгрд╛рд╡рд░ рдЙрдкрд▓рдмреНрдз рд╣реЛрддреЗ). рдпрд╛ рд╡реИрд╢рд┐рд╖реНрдЯреНрдпрд╛рд╕рд╣, рдЧрдЯрд╛рдиреЗ рдЖрдореНрд╣рд╛рд▓рд╛ рдЙрдВрджреАрд░ рд░рд╛рдЬрд╛рдЪреА рдЖрдард╡рдг рдХрд░реВрди рджрд┐рд▓реА - рдПрдХ рдкреМрд░рд╛рдгрд┐рдХ рдкреНрд░рд╛рдгреА рдЬреНрдпрд╛рдордзреНрдпреЗ рдЧреБрдВрдлрд▓реЗрд▓реНрдпрд╛ рд╢реЗрдкрдЯреА рдЕрд╕рд▓реЗрд▓реЗ рдЙрдВрджреАрд░ рдЕрд╕рддрд╛рдд.
рдореВрд│ рдореЛрдиреЛрдЧреНрд░рд╛рдл рдордзреВрди рдХреЗ.рдПрди. рд░реЙрд╕рд┐рдХреЛрд╡реНрд╣ рдпрд╛рдВрдиреА рдШреЗрддрд▓реЗ рдЖрд╣реЗ тАЬрдЙрдВрджреАрд░ рдЖрдгрд┐ рдЙрдВрджреАрд░, рд╕рд░реНрд╡рд╛рдд рдЖрд░реНрдерд┐рдХрджреГрд╖реНрдЯреНрдпрд╛ рдорд╣рддреНрддреНрд╡рд╛рдЪреЗтАЭ (1908)
рдпрд╛ рдкреНрд░рд╛рдгреНрдпрд╛рдЪреНрдпрд╛ рд╕рдиреНрдорд╛рдирд╛рд░реНрде, рдЖрдореНрд╣реА RATKing рд╡рд┐рдЪрд╛рд░рд╛рдд рдШреЗрддрд▓реЗрд▓реНрдпрд╛ рдЧрдЯрд╛рд▓рд╛ рдЖрдореНрд╣реА рдирд╛рд╡ рджрд┐рд▓реЗ. рдпрд╛ рдкреЛрд╕реНрдЯрдордзреНрдпреЗ, рдЖрдореНрд╣реА рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдиреА рд╣рд▓реНрд▓рд╛ рдХрд╕рд╛ рдХреЗрд▓рд╛, рддреНрдпрд╛рдВрдиреА рдХреЛрдгрддреА рд╕рд╛рдзрдиреЗ рд╡рд╛рдкрд░рд▓реА рдпрд╛рдмрджреНрджрд▓ рддрдкрд╢реАрд▓рд╡рд╛рд░ рдорд╛рд╣рд┐рддреА рдШреЗрдК рдЖрдгрд┐ рдпрд╛ рдореЛрд╣рд┐рдореЗрдЪреНрдпрд╛ рд╢реНрд░реЗрдпрдмрджреНрджрд▓ рдЖрдордЪреЗ рд╡рд┐рдЪрд╛рд░ рджреЗрдЦреАрд▓ рд╢реЗрдЕрд░ рдХрд░реВ.
рд╣рд▓реНрд▓реНрдпрд╛рдЪреА рдкреНрд░рдЧрддреА
рдпрд╛ рдореЛрд╣рд┐рдореЗрддреАрд▓ рд╕рд░реНрд╡ рд╣рд▓реНрд▓реЗ рдЦрд╛рд▓реАрд▓ рдЕрд▓реНрдЧреЛрд░рд┐рджрдордиреБрд╕рд╛рд░ рдЭрд╛рд▓реЗ:
- рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рд▓рд╛ Google рдбреНрд░рд╛рдЗрд╡реНрд╣рдЪреНрдпрд╛ рд▓рд┐рдВрдХрд╕рд╣ рдлрд┐рд╢рд┐рдВрдЧ рдИрдореЗрд▓ рдкреНрд░рд╛рдкреНрдд рдЭрд╛рд▓рд╛.
- рд▓рд┐рдВрдХ рд╡рд╛рдкрд░реВрди, рдкреАрдбрд┐рддреЗрдиреЗ рдПрдХ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдбрд╛рдЙрдирд▓реЛрдб рдХреЗрд▓реА рдЬреНрдпрд╛рдиреЗ Windows рдиреЛрдВрджрдгреАрдордзреНрдпреЗ рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рд▓реЛрдб рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА DLL рд▓рд╛рдпрдмреНрд░рд░реА рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХреЗрд▓реА рдЖрдгрд┐ рддреА рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА PowerShell рд▓рд╛рдБрдЪ рдХреЗрд▓реЗ.
- рдбреАрдПрд▓рдПрд▓ рд▓рд╛рдпрдмреНрд░рд░реАрдиреЗ рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб - рдЦрд░реЗрддрд░, рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдВрдиреА рд╡рд╛рдкрд░рд▓реЗрд▓реНрдпрд╛ RAT рдкреИрдХреА рдПрдХ - рд╕рд┐рд╕реНрдЯрдо рдкреНрд░рдХреНрд░рд┐рдпреЗрдд рдЗрдВрдЬреЗрдХреНрдЯ рдХреЗрд▓реЗ рдЖрдгрд┐ рд╕рдВрдХреНрд░рдорд┐рдд рдорд╢реАрдирдордзреНрдпреЗ рдкрд╛рдКрд▓ рдареЗрд╡рдгреНрдпрд╛рд╕рд╛рдареА рдСрдЯреЛрд░рдирдордзреНрдпреЗ VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯрдЪреА рдиреЛрдВрджрдгреА рдХреЗрд▓реА.
- рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рд╕рд┐рд╕реНрдЯрдо рдкреНрд░рдХреНрд░рд┐рдпреЗрдд рдЕрдВрдорд▓рд╛рдд рдЖрдгрд▓рд╛ рдЧреЗрд▓рд╛ рдЖрдгрд┐ рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рд▓рд╛ рд╕рдВрдХреНрд░рдорд┐рдд рд╕рдВрдЧрдгрдХ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░рдгреНрдпрд╛рдЪреА рдХреНрд╖рдорддрд╛ рджрд┐рд▓реА.
рдпреЛрдЬрдирд╛рдмрджреНрдзрд░рд┐рддреНрдпрд╛ рддреЗ рдпрд╛рдкреНрд░рдорд╛рдгреЗ рджрд░реНрд╢рд╡рд┐рд▓реЗ рдЬрд╛рдК рд╢рдХрддреЗ:
рдкреБрдвреЗ, рдЖрдореНрд╣реА рдкрд╣рд┐рд▓реНрдпрд╛ рддреАрди рдЯрдкреНрдкреНрдпрд╛рдВрд╡рд░ рд▓рдХреНрд╖ рдХреЗрдВрджреНрд░рд┐рдд рдХрд░реВ, рдХрд╛рд░рдг рдЖрдореНрд╣рд╛рд▓рд╛ рдорд╛рд▓рд╡реЗрдЕрд░ рд╡рд┐рддрд░рдг рдпрдВрддреНрд░рдгреЗрдордзреНрдпреЗ рд░рд╕ рдЖрд╣реЗ. рдорд╛рд▓рд╡реЗрдЕрд░рдЪреНрдпрд╛ рдСрдкрд░реЗрд╢рдирдЪреНрдпрд╛ рдпрдВрддреНрд░рдгреЗрдЪреЗ рдЖрдореНрд╣реА рддрдкрд╢реАрд▓рд╡рд╛рд░ рд╡рд░реНрдгрди рдХрд░рдгрд╛рд░ рдирд╛рд╣реА. рддреЗ рдореЛрдареНрдпрд╛ рдкреНрд░рдорд╛рдгрд╛рд╡рд░ рдЙрдкрд▓рдмреНрдз рдЖрд╣реЗрдд - рдПрдХрддрд░ рд╡рд┐рд╢реЗрд╖ рдордВрдЪрд╛рдВрд╡рд░ рд╡рд┐рдХрд▓реЗ рдЬрд╛рддрд╛рдд, рдХрд┐рдВрд╡рд╛ рдЕрдЧрджреА рдореБрдХреНрдд рд╕реНрддреНрд░реЛрдд рдкреНрд░рдХрд▓реНрдк рдореНрд╣рдгреВрди рд╡рд┐рддрд░реАрдд рдХреЗрд▓реЗ рдЬрд╛рддрд╛рдд - рдЖрдгрд┐ рдореНрд╣рдгреВрди рддреЗ RATKing рдЧрдЯрд╛рд╕рд╛рдареА рдЕрджреНрд╡рд┐рддреАрдп рдирд╛рд╣реАрдд.
рд╣рд▓реНрд▓реНрдпрд╛рдЪреНрдпрд╛ рдЯрдкреНрдкреНрдпрд╛рдВрдЪреЗ рд╡рд┐рд╢реНрд▓реЗрд╖рдг
рд╕реНрдЯреЗрдЬ 1. рдлрд┐рд╢рд┐рдВрдЧ рдИрдореЗрд▓
рд╣рд▓реНрд▓реНрдпрд╛рдЪреА рд╕реБрд░реБрд╡рд╛рдд рдкреАрдбрд┐рддреЗрд▓рд╛ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдкрддреНрд░ рдорд┐рд│рд╛рд▓реНрдпрд╛рдиреЗ рдЭрд╛рд▓реА (рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдиреА рдордЬрдХреВрд░рд╛рд╕рд╣ рднрд┐рдиреНрди рдЯреЗрдореНрдкрд▓реЗрдЯ рд╡рд╛рдкрд░рд▓реЗ; рдЦрд╛рд▓реА рджрд┐рд▓реЗрд▓рд╛ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рдПрдХ рдЙрджрд╛рд╣рд░рдг рджрд░реНрд╢рд╡рд┐рддреЛ). рд╕рдВрджреЗрд╢рд╛рдордзреНрдпреЗ рд╡реИрдз рднрд╛рдВрдбрд╛рд░рд╛рдЪреА рд▓рд┐рдВрдХ рд╣реЛрддреА drive.google.com
, рдЬреНрдпрд╛рдиреЗ рдХрдерд┐рддрдкрдгреЗ PDF рджрд╕реНрддрдРрд╡рдЬ рдбрд╛рдЙрдирд▓реЛрдб рдкреГрд╖реНрдард╛рд╡рд░ рдиреЗрд▓реЗ.
рдлрд┐рд╢рд┐рдВрдЧ рдИрдореЗрд▓ рдЙрджрд╛рд╣рд░рдг
рддрдерд╛рдкрд┐, рдЦрд░рдВ рддрд░, рддреЗ рд▓реЛрдб рдХреЗрд▓реЗрд▓реЗ рдкреАрдбреАрдПрдл рджрд╕реНрддрдРрд╡рдЬ рдирд╡реНрд╣рддреЗ, рддрд░ рд╡реНрд╣реАрдмреАрдПрд╕ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд╣реЛрддреЗ.
рд╡рд░реАрд▓ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреАрд▓ рдИрдореЗрд▓рдордзреАрд▓ рд▓рд┐рдВрдХрд╡рд░ рдХреНрд▓рд┐рдХ рдХреЗрд▓реНрдпрд╛рд╡рд░ рдирд╛рд╡рд╛рдЪреА рдлрд╛рдИрд▓ Cargo Flight Details.vbs
. рдпрд╛ рдкреНрд░рдХрд░рдгрд╛рдд, рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдиреА рдлрд╛рдИрд▓ рдХрд╛рдпрджреЗрд╢реАрд░ рдХрд╛рдЧрджрдкрддреНрд░ рдореНрд╣рдгреВрди рд▓рдкрд╡рдгреНрдпрд╛рдЪрд╛ рдкреНрд░рдпрддреНрди рджреЗрдЦреАрд▓ рдХреЗрд▓рд╛ рдирд╛рд╣реА.
рддреНрдпрд╛рдЪ рд╡реЗрд│реА, рдпрд╛ рдореЛрд╣рд┐рдореЗрдЪрд╛ рдПрдХ рднрд╛рдЧ рдореНрд╣рдгреВрди, рдЖрдореНрд╣реА рдирд╛рд╡рд╛рдЪреА рд▓рд┐рдкреА рд╢реЛрдзрд▓реА Cargo Trip Detail.pdf.vbs
. рд╣реЗ рдЖрдзреАрдЪ рд╡реИрдз PDF рд╕рд╛рдареА рдкрд╛рд╕ рд╣реЛрдК рд╢рдХрддреЗ рдХрд╛рд░рдг рд╡рд┐рдВрдбреЛрдЬ рдбреАрдлреЙрд▓реНрдЯрдиреБрд╕рд╛рд░ рдлрд╛рдЗрд▓ рд╡рд┐рд╕реНрддрд╛рд░ рд▓рдкрд╡рддреЗ. рдЦрд░реЗ рдЖрд╣реЗ, рдпрд╛ рдкреНрд░рдХрд░рдгрд╛рдд, рд╡реНрд╣реАрдмреАрдПрд╕ рд╕реНрдХреНрд░рд┐рдкреНрдЯрд╢реА рд╕рдВрдмрдВрдзрд┐рдд рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рддреНрдпрд╛рдЪреНрдпрд╛ рдЪрд┐рдиреНрд╣рд╛рджреНрд╡рд╛рд░реЗ рд╕рдВрд╢рдп рдЕрдЬреВрдирд╣реА рдЬрд╛рдЧреГрдд рдХреЗрд▓рд╛ рдЬрд╛рдК рд╢рдХрддреЛ.
рдпрд╛ рдЯрдкреНрдкреНрдпрд╛рд╡рд░, рдмрд│реА рдлрд╕рд╡рдгреВрдХ рдУрд│рдЦреВ рд╢рдХрддреЛ: рдлрдХреНрдд рдПрдХрд╛ рд╕реЗрдХрдВрджрд╛рд╕рд╛рдареА рдбрд╛рдЙрдирд▓реЛрдб рдХреЗрд▓реЗрд▓реНрдпрд╛ рдлрд╛рдпрд▓реА рдЬрд╡рд│реВрди рдкрд╣рд╛. рддрдерд╛рдкрд┐, рдЕрд╢рд╛ рдлрд┐рд╢рд┐рдВрдЧ рдореЛрд╣рд┐рдорд╛рдВрдордзреНрдпреЗ, рдЖрдХреНрд░рдордгрдХрд░реНрддреЗ рд╕рд╣рд╕рд╛ рджреБрд░реНрд▓рдХреНрд╖рд┐рдд рдХрд┐рдВрд╡рд╛ рдШрд╛рдИрдШрд╛рдИрдиреЗ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рд╡рд░ рдЕрд╡рд▓рдВрдмреВрди рдЕрд╕рддрд╛рдд.
рд╕реНрдЯреЗрдЬ 2. VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдСрдкрд░реЗрд╢рди
VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ, рдЬреА рд╡рд╛рдкрд░рдХрд░реНрддрд╛ рдЕрдирд╡рдзрд╛рдирд╛рдиреЗ рдЙрдШрдбреВ рд╢рдХрддреЛ, рд╡рд┐рдВрдбреЛрдЬ рд░реЗрдЬрд┐рд╕реНрдЯреНрд░реАрдордзреНрдпреЗ DLL рд▓рд╛рдпрдмреНрд░рд░реАрдЪреА рдиреЛрдВрджрдгреА рдХреЗрд▓реА. рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЕрд╕реНрдкрд╖реНрдЯ рд╣реЛрддреА: рддреНрдпрд╛рддреАрд▓ рдУрд│реА рдПрдХрд╛ рдЕрдирд┐рдпрдВрддреНрд░рд┐рдд рд╡рд░реНрдгрд╛рдиреЗ рд╡рд┐рднрдХреНрдд рдХреЗрд▓реЗрд▓реНрдпрд╛ рдмрд╛рдЗрдЯреНрд╕ рдореНрд╣рдгреВрди рд▓рд┐рд╣рд┐рд▓реНрдпрд╛ рд╣реЛрддреНрдпрд╛.
рдЕрд╕реНрдкрд╖реНрдЯ рд╕реНрдХреНрд░рд┐рдкреНрдЯрдЪреЗ рдЙрджрд╛рд╣рд░рдг
рдбрд┐рдУрдмреНрдлрд╕реНрдХреЗрд╢рди рдЕрд▓реНрдЧреЛрд░рд┐рджрдо рдЕрдЧрджреА рд╕реЛрдкреА рдЖрд╣реЗ: рдЕрд╕реНрдкрд╖реНрдЯ рд╕реНрдЯреНрд░рд┐рдВрдЧрдордзреВрди рдкреНрд░рддреНрдпреЗрдХ рддрд┐рд╕рд░рд╛ рд╡рд░реНрдг рд╡рдЧрд│рдгреНрдпрд╛рдд рдЖрд▓рд╛ рд╣реЛрддрд╛, рддреНрдпрд╛рдирдВрддрд░ рдирд┐рдХрд╛рд▓ рдореВрд│ рд╕реНрдЯреНрд░рд┐рдВрдЧрдордзреНрдпреЗ рдмреЗрд╕16 рд╡рд░реВрди рдбреАрдХреЛрдб рдХреЗрд▓рд╛ рдЧреЗрд▓рд╛. рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, рдореВрд▓реНрдп рдкрд╛рд╕реВрди 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct
(рд╡рд░реАрд▓ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ рд╣рд╛рдпрд▓рд╛рдЗрдЯ рдХреЗрд▓реЗрд▓реЗ) рдкрд░рд┐рдгрд╛рдореА рдУрд│ рд╣реЛрддреА WScript.Shell
.
рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдбрд┐рдСрдлрд╕реНрдХреЗрдЯ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА, рдЖрдореНрд╣реА рдкрд╛рдпрдерди рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░рд▓реЗ:
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
рдЦрд╛рд▓реА, 9-10 рдУрд│реАрдВрд╡рд░, рдЖрдореНрд╣реА рддреЗ рдореВрд▓реНрдп рд╣рд╛рдпрд▓рд╛рдЗрдЯ рдХрд░рддреЛ рдЬреНрдпрд╛рдЪреНрдпрд╛ рдбрд┐рдСрдлрд╕реНрдХреЗрд╢рдирдореБрд│реЗ рдбреАрдПрд▓рдПрд▓ рдлрд╛рдЗрд▓ рдмрдирддреЗ. рддреНрдпрд╛рдиреЗрдЪ рдкреЙрд╡рд░рд╢реЗрд▓ рд╡рд╛рдкрд░реВрди рдкреБрдврдЪреНрдпрд╛ рдЯрдкреНрдкреНрдпрд╛рд╡рд░ рд▓рд╛рдБрдЪ рдХреЗрд▓реЗ рд╣реЛрддреЗ.
рдЕрд╕реНрдкрд╖реНрдЯ DLL рд╕рд╣ рд╕реНрдЯреНрд░рд┐рдВрдЧ
VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯрдордзреАрд▓ рдкреНрд░рддреНрдпреЗрдХ рдлрдВрдХреНрд╢рди рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХреЗрд▓реЗ рдЧреЗрд▓реЗ рдХрд╛рд░рдг рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдбрд┐рдСрдлрд╕реНрдХреЗрдЯреЗрдб рд╣реЛрддреНрдпрд╛.
рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЪрд╛рд▓рд╡рд▓реНрдпрд╛рдирдВрддрд░, рдлрдВрдХреНрд╢рди рдХреЙрд▓ рдХреЗрд▓реЗ рдЧреЗрд▓реЗ wscript.sleep
- рд╣реЗ рд╕реНрдердЧрд┐рдд рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреА рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╡рд╛рдкрд░рд▓реЗ рд╣реЛрддреЗ.
рдкреБрдвреЗ, рд╕реНрдХреНрд░рд┐рдкреНрдЯрдиреЗ рд╡рд┐рдВрдбреЛрдЬ рд░реЗрдЬрд┐рд╕реНрдЯреНрд░реАрд╕рд╣ рдХрд╛рд░реНрдп рдХреЗрд▓реЗ. рддреНрдпрд╛рд╕рд╛рдареА рддреНрдпрд╛рдВрдиреА WMI рддрдВрддреНрд░рдЬреНрдЮрд╛рдирд╛рдЪрд╛ рд╡рд╛рдкрд░ рдХреЗрд▓рд╛. рддреНрдпрд╛рдЪреНрдпрд╛ рдорджрддреАрдиреЗ, рдПрдХ рдЕрджреНрд╡рд┐рддреАрдп рдХреА рддрдпрд╛рд░ рдХреЗрд▓реА рдЧреЗрд▓реА рдЖрдгрд┐ рдПрдХреНрдЭрд┐рдХреНрдпреБрдЯреЗрдмрд▓ рдлрд╛рдЗрд▓рдЪрд╛ рдореБрдЦреНрдп рднрд╛рдЧ рддреНрдпрд╛рдЪреНрдпрд╛ рдкреЕрд░рд╛рдореАрдЯрд░рд╡рд░ рд▓рд┐рд╣рд┐рд▓рд╛ рдЧреЗрд▓рд╛. рдЦрд╛рд▓реАрд▓ рдЖрджреЗрд╢ рд╡рд╛рдкрд░реВрди WMI рджреНрд╡рд╛рд░реЗ рд░реЗрдЬрд┐рд╕реНрдЯреНрд░реАрдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдХреЗрд▓рд╛ рдЧреЗрд▓рд╛:
GetObject(winmgmts {impersonationLevel=impersonate}!\.rootdefault:StdRegProv)
VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯрджреНрд╡рд╛рд░реЗ рдиреЛрдВрджрдгреАрдордзреНрдпреЗ рдХреЗрд▓реЗрд▓реА рдиреЛрдВрдж
рд╕реНрдЯреЗрдЬ 3. рдбреАрдПрд▓рдПрд▓ рд▓рд╛рдпрдмреНрд░рд░реАрдЪреЗ рдСрдкрд░реЗрд╢рди
рддрд┐рд╕рд▒реНрдпрд╛ рдЯрдкреНрдкреНрдпрд╛рд╡рд░, рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг DLL рдиреЗ рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рд▓реЛрдб рдХреЗрд▓реЗ, рддреЗ рд╕рд┐рд╕реНрдЯрдо рдкреНрд░рдХреНрд░рд┐рдпреЗрдд рдЗрдВрдЬреЗрдХреНрдЯ рдХреЗрд▓реЗ рдЖрдгрд┐ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рдиреЗ рд▓реЙрдЧ рдЗрди рдХреЗрд▓реНрдпрд╛рд╡рд░ VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдСрдЯреЛрд╕реНрдЯрд╛рд░реНрдЯ рдЭрд╛рд▓реА рдпрд╛рдЪреА рдЦрд╛рддреНрд░реА рдХреЗрд▓реА.
PowerShell рджреНрд╡рд╛рд░реЗ рдЪрд╛рд▓рд╡рд╛
PowerShell рдордзреНрдпреЗ рдЦрд╛рд▓реАрд▓ рдЖрджреЗрд╢ рд╡рд╛рдкрд░реВрди DLL рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХреЗрд▓реЗ рдЧреЗрд▓реЗ:
[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0
рдпрд╛ рдЖрджреЗрд╢рд╛рдиреЗ рдкреБрдвреАрд▓ рдЧреЛрд╖реНрдЯреА рдХреЗрд▓реНрдпрд╛:
- рдирд╛рд╡рд╛рд╕рд╣ рдиреЛрдВрджрдгреА рдореВрд▓реНрдп рдбреЗрдЯрд╛ рдкреНрд░рд╛рдкреНрдд рдЭрд╛рд▓рд╛
rnd_value_name
тАФ рд╣рд╛ рдбреЗрдЯрд╛ .Net рдкреНрд▓реЕрдЯрдлреЙрд░реНрдорд╡рд░ рд▓рд┐рд╣рд┐рд▓реЗрд▓реА DLL рдлрд╛рдЗрд▓ рд╣реЛрддреА; - рдкрд░рд┐рдгрд╛рдореА .Net рдореЙрдбреНрдпреВрд▓ рдкреНрд░реЛрд╕реЗрд╕ рдореЗрдорд░реАрдордзреНрдпреЗ рд▓реЛрдб рдХреЗрд▓реЗ
powershell.exe
рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрди[System.Threading.Thread]::GetDomain().Load()
(рд▓реЛрдб() рдлрдВрдХреНрд╢рдирдЪреЗ рддрдкрд╢реАрд▓рд╡рд╛рд░ рд╡рд░реНрдгрдирдорд╛рдпрдХреНрд░реЛрд╕реЙрдлреНрдЯ рд╡реЗрдмрд╕рд╛рдЗрдЯрд╡рд░ рдЙрдкрд▓рдмреНрдз рдЖрд╣реЗ ); - рдХрд╛рд░реНрдп рдХреЗрд▓реЗ
GUyyvmzVhebFCw]::EhwwK()
- рдбреАрдПрд▓рдПрд▓ рд▓рд╛рдпрдмреНрд░рд░реАрдЪреА рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреА рддреНрдпрд╛рдЪреНрдпрд╛рд╕рд╣ - рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕рд╕рд╣ рд╕реБрд░реВ рдЭрд╛рд▓реАvbsScriptPath
,xorKey
,vbsScriptName
. рдкреЕрд░рд╛рдореАрдЯрд░xorKey
рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рдЖрдгрд┐ рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдХреА рд╕рдВрдЧреНрд░рд╣рд┐рдд рдХреЗрд▓реАvbsScriptPath
╨╕vbsScriptName
рдСрдЯреЛрд░рдирдордзреНрдпреЗ VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯрдЪреА рдиреЛрдВрджрдгреА рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╣рд╕реНрддрд╛рдВрддрд░рд┐рдд рдХреЗрд▓реЗ рдЧреЗрд▓реЗ.
DLL рд▓рд╛рдпрдмреНрд░рд░реАрдЪреЗ рд╡рд░реНрдгрди
рд╡рд┐рдШрдЯрд┐рдд рд╕реНрд╡рд░реВрдкрд╛рдд, рдмреВрдЯрд▓реЛрдбрд░ рдЕрд╕реЗ рджрд┐рд╕рд▓реЗ:
рд▓реЛрдбрд░ рд╡рд┐рдШрдЯрд┐рдд рд╕реНрд╡рд░реВрдкрд╛рдд (рдЬреНрдпрд╛ рдлрдВрдХреНрд╢рдирд╕рд╣ рдбреАрдПрд▓рдПрд▓ рд▓рд╛рдпрдмреНрд░рд░реАрдЪреА рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреА рд╕реБрд░реВ рдЭрд╛рд▓реА рддреЗ рд▓рд╛рд▓ рд░рдВрдЧрд╛рдд рдЕрдзреЛрд░реЗрдЦрд┐рдд рдХреЗрд▓реЗ рдЖрд╣реЗ)
рдмреВрдЯрд▓реЛрдбрд░ .Net Reactor рд╕рдВрд░рдХреНрд╖рдХрд╛рджреНрд╡рд╛рд░реЗ рд╕рдВрд░рдХреНрд╖рд┐рдд рдЖрд╣реЗ. de4dot рдпреБрдЯрд┐рд▓рд┐рдЯреА рд╣реЗ рд╕рдВрд░рдХреНрд╖рдХ рдХрд╛рдвреВрди рдЯрд╛рдХрдгреНрдпрд╛рдЪреЗ рдЙрддреНрдХреГрд╖реНрдЯ рдХрд╛рд░реНрдп рдХрд░рддреЗ.
рд╣рд╛ рд▓реЛрдбрд░:
- рд╕рд┐рд╕реНрдЯрдо рдкреНрд░рдХреНрд░рд┐рдпреЗрдд рдкреЗрд▓реЛрдб рдЗрдВрдЬреЗрдХреНрдЯ рдХреЗрд▓реЗ (рдпрд╛ рдЙрджрд╛рд╣рд░рдгрд╛рдд рддреЗ
svchost.exe
); - рдореА рдСрдЯреЛрд░рдирдордзреНрдпреЗ VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЬреЛрдбрд▓реА рдЖрд╣реЗ.
рдкреЗрд▓реЛрдб рдЗрдВрдЬреЗрдХреНрд╢рди
рдкреЙрд╡рд░рд╢реЗрд▓ рд╕реНрдХреНрд░рд┐рдкреНрдЯрдиреЗ рдХреЙрд▓ рдХреЗрд▓реЗрд▓реЗ рдлрдВрдХреНрд╢рди рдкрд╛рд╣реВ.
рдкреЙрд╡рд░рд╢реЗрд▓ рд╕реНрдХреНрд░рд┐рдкреНрдЯрджреНрд╡рд╛рд░реЗ рдХреЙрд▓ рдХреЗрд▓реЗрд▓реЗ рдХрд╛рд░реНрдп
рдпрд╛ рдлрдВрдХреНрд╢рдирдиреЗ рдЦрд╛рд▓реАрд▓ рдХреНрд░рд┐рдпрд╛ рдХреЗрд▓реНрдпрд╛:
- рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХреЗрд▓реЗрд▓реЗ рджреЛрди рдбреЗрдЯрд╛ рд╕рдВрдЪ (
array
╨╕array2
рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ). рддреЗ рдореВрд│рдд: gzip рд╡рд╛рдкрд░реВрди рд╕рдВрдХреБрдЪрд┐рдд рдХреЗрд▓реЗ рдЧреЗрд▓реЗ рдЖрдгрд┐ рдХреА рд╕рд╣ XOR рдЕрд▓реНрдЧреЛрд░рд┐рджрдорд╕рд╣ рдПрдирдХреНрд░рд┐рдкреНрдЯ рдХреЗрд▓реЗ рдЧреЗрд▓реЗxorKey
; - рд╡рд╛рдЯрдк рдХреЗрд▓реЗрд▓реНрдпрд╛ рдореЗрдорд░реА рднрд╛рдЧрд╛рдд рдбреЗрдЯрд╛ рдХреЙрдкреА рдХреЗрд▓рд╛. рдкрд╛рд╕реВрди рдбреЗрдЯрд╛
array
- рдореЗрдорд░реА рдХреНрд╖реЗрддреНрд░рд╛рдХрдбреЗ рдирд┐рд░реНрджреЗрд╢рд┐рдд рдХреЗрд▓реЗ рдЖрд╣реЗintPtr
(payload pointer
рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ); рдкрд╛рд╕реВрди рдбреЗрдЯрд╛array2
- рдореЗрдорд░реА рдХреНрд╖реЗрддреНрд░рд╛рдХрдбреЗ рдирд┐рд░реНрджреЗрд╢рд┐рдд рдХреЗрд▓реЗ рдЖрд╣реЗintPtr2
(shellcode pointer
рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ); - рдлрдВрдХреНрд╢рди рдореНрд╣рдгрддрд╛рдд
CallWindowProcA
(рд╡рд░реНрдгрди рд╣реЗ рдХрд╛рд░реНрдп Microsoft рд╡реЗрдмрд╕рд╛рдЗрдЯрд╡рд░ рдЙрдкрд▓рдмреНрдз рдЖрд╣реЗ) рдЦрд╛рд▓реАрд▓ рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕рд╕рд╣ (рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕рдЪреА рдирд╛рд╡реЗ рдЦрд╛рд▓реА рд╕реВрдЪреАрдмрджреНрдз рдЖрд╣реЗрдд, рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ рддреЗ рддреНрдпрд╛рдЪ рдХреНрд░рдорд╛рдиреЗ рдЖрд╣реЗрдд, рдкрд░рдВрддреБ рдХрд╛рд░реНрдпрд░рдд рдореВрд▓реНрдпрд╛рдВрд╕рд╣):lpPrevWndFunc
- рдкрд╛рд╕реВрди рдбреЗрдЯрд╛рд╕рд╛рдареА рдкреЙрдЗрдВрдЯрд░array2
;hWnd
тАФ рдПрдХреНрдЭрд┐рдХреНрдпреБрдЯреЗрдмрд▓ рдлрд╛рдЗрд▓рдЪрд╛ рдорд╛рд░реНрдЧ рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рд╕реНрдЯреНрд░рд┐рдВрдЧрдХрдбреЗ рдкреЙрдЗрдВрдЯрд░svchost.exe
;Msg
- рдкрд╛рд╕реВрди рдбреЗрдЯрд╛рд╕рд╛рдареА рдкреЙрдЗрдВрдЯрд░array
;wParam
,lParam
тАФ рд╕рдВрджреЗрд╢ рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕ (рдпрд╛ рдкреНрд░рдХрд░рдгрд╛рдд, рд╣реЗ рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕ рд╡рд╛рдкрд░рд▓реЗ рдЧреЗрд▓реЗ рдирд╛рд╣реАрдд рдЖрдгрд┐ рддреНрдпрд╛рдВрдЪреА рдореВрд▓реНрдпреЗ 0 рд╣реЛрддреА);
- рдПрдХ рдлрд╛рдЗрд▓ рддрдпрд╛рд░ рдХреЗрд▓реА
%AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.url
рдХреБрдареЗ<name>
- рд╣реЗ рдкреЕрд░рд╛рдореАрдЯрд░рдЪреЗ рдкрд╣рд┐рд▓реЗ 4 рд╡рд░реНрдг рдЖрд╣реЗрддvbsScriptName
(рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ, рдпрд╛ рдХреНрд░рд┐рдпреЗрд╕рд╣ рдХреЛрдбрдЪрд╛ рддреБрдХрдбрд╛ рдХрдорд╛рдВрдбрдиреЗ рд╕реБрд░реВ рд╣реЛрддреЛFile.Copy
). рдЕрд╢рд╛рдкреНрд░рдХрд╛рд░реЗ, рдЬреЗрд╡реНрд╣рд╛ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рдиреЗ рд▓реЙрдЧ рдЗрди рдХреЗрд▓реЗ рддреЗрд╡реНрд╣рд╛ рдорд╛рд▓рд╡реЗрдЕрд░рдиреЗ рдСрдЯреЛрд░рди рдлрд╛рдЗрд▓реНрд╕рдЪреНрдпрд╛ рд╕реВрдЪреАрдордзреНрдпреЗ URL рдлрд╛рдЗрд▓ рдЬреЛрдбрд▓реА рдЖрдгрд┐ рддреНрдпрд╛рдореБрд│реЗ рд╕рдВрдХреНрд░рдорд┐рдд рд╕рдВрдЧрдгрдХрд╛рд╢реА рд╕рдВрд▓рдЧреНрди рдЭрд╛рд▓рд╛. URL рдлрд╛рдЗрд▓рдордзреНрдпреЗ рд╕реНрдХреНрд░рд┐рдкреНрдЯрдЪрд╛ рджреБрд╡рд╛ рдЖрд╣реЗ:
[InternetShortcut]
URL = file : ///<vbsScriptPath>
рдЗрдВрдЬреЗрдХреНрд╢рди рдХрд╕реЗ рдХреЗрд▓реЗ рдЧреЗрд▓реЗ рд╣реЗ рд╕рдордЬреВрди рдШреЗрдгреНрдпрд╛рд╕рд╛рдареА, рдЖрдореНрд╣реА рдбреЗрдЯрд╛ рдЕреЕрд░реЗ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХреЗрд▓реЗ array
╨╕ array2
. рд╣реЗ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдЖрдореНрд╣реА рдЦрд╛рд▓реАрд▓ рдкрд╛рдпрдерди рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░рд▓реЗ:
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
рдкрд░рд┐рдгрд╛рдореА, рдЖрдореНрд╣рд╛рд▓рд╛ рдЖрдврд│рд▓реЗ рдХреА:
array
рдкреАрдИ рдлрд╛рдЗрд▓ рд╣реЛрддреА - рд╣рд╛ рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рдЖрд╣реЗ;array2
рдЗрдВрдЬреЗрдХреНрд╢рди рдкрд╛рд░ рдкрд╛рдбрдгреНрдпрд╛рд╕рд╛рдареА рд╢реЗрд▓рдХреЛрдб рдЖрд╡рд╢реНрдпрдХ рд╣реЛрддрд╛.
рдЕреЕрд░реЗрдордзреВрди рд╢реЗрд▓рдХреЛрдб array2
рдлрдВрдХреНрд╢рди рд╡реНрд╣реЕрд▓реНрдпреВ рдореНрд╣рдгреВрди рдкрд╛рд╕ рдХреЗрд▓реЗ lpPrevWndFunc
рдлрдВрдХреНрд╢рди рдордзреНрдпреЗ CallWindowProcA
. lpPrevWndFunc
тАФ рдХреЙрд▓рдмреЕрдХ рдлрдВрдХреНрд╢рди, рддреНрдпрд╛рдЪрд╛ рдкреНрд░реЛрдЯреЛрдЯрд╛рдЗрдк рдЕрд╕реЗ рджрд┐рд╕рддреЗ:
LRESULT WndFunc(
HWND hWnd,
UINT Msg,
WPARAM wParam,
LPARAM lParam
);
рддрд░ рдЬреЗрд╡реНрд╣рд╛ рддреБрдореНрд╣реА рдлрдВрдХреНрд╢рди рд░рди рдХрд░рддрд╛ CallWindowProcA
рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕рд╕рд╣ hWnd
, Msg
, wParam
, lParam
рдЕреЕрд░реЗрдордзреАрд▓ рд╢реЗрд▓рдХреЛрдб рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХреЗрд▓рд╛ рдЬрд╛рддреЛ array2
рдпреБрдХреНрддрд┐рд╡рд╛рджрд╛рдВрд╕рд╣ hWnd
╨╕ Msg
. hWnd
рдПрдХреНрдЭрд┐рдХреНрдпреБрдЯреЗрдмрд▓ рдлрд╛рдЗрд▓рдЪрд╛ рдорд╛рд░реНрдЧ рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рд╕реНрдЯреНрд░рд┐рдВрдЧрдЪрд╛ рдкреЙрдЗрдВрдЯрд░ рдЖрд╣реЗ svchost.exe
рдЖрдгрд┐ Msg
- рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдбрд╕рд╛рдареА рдкреЙрдЗрдВрдЯрд░.
рд╢реЗрд▓рдХреЛрдбрд▓рд╛ рдлрдВрдХреНрд╢рди рдЕреЕрдбреНрд░реЗрд╕ рдХрдбреВрди рдкреНрд░рд╛рдкреНрдд рдЭрд╛рд▓реЗ kernel32.dll
╨╕ ntdll32.dll
рддреНрдпрд╛рдВрдЪреНрдпрд╛ рдирд╛рд╡рд╛рдВрдЪреНрдпрд╛ рд╣реЕрд╢ рдореВрд▓реНрдпрд╛рдВрд╡рд░ рдЖрдзрд╛рд░рд┐рдд рдЖрдгрд┐ рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдореЗрдорд░реАрдордзреНрдпреЗ рдЗрдВрдЬреЗрдХреНрдЯ рдХреЗрд▓реЗ svchost.exe
рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╣реЛрд▓реЛрдЗрдВрдЧ рддрдВрддреНрд░ рд╡рд╛рдкрд░рдгреЗ (рдЖрдкрдг рдпрд╛рдмрджреНрджрд▓ рдЕрдзрд┐рдХ рд╡рд╛рдЪреВ рд╢рдХрддрд╛
- рдПрдХ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рддрдпрд╛рд░ рдХреЗрд▓реА
svchost.exe
рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрди рдирд┐рд▓рдВрдмрд┐рдд рд╕реНрдерд┐рддреАрддCreateProcessW
; - рдирдВрддрд░ рдкреНрд░рдХреНрд░рд┐рдпреЗрдЪреНрдпрд╛ рдЕреЕрдбреНрд░реЗрд╕ рд╕реНрдкреЗрд╕рдордзреНрдпреЗ рд╡рд┐рднрд╛рдЧрд╛рдЪреЗ рдкреНрд░рджрд░реНрд╢рди рд▓рдкрд╡рд▓реЗ
svchost.exe
рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрдиNtUnmapViewOfSection
. рдЕрд╢рд╛ рдкреНрд░рдХрд╛рд░реЗ, рдХрд╛рд░реНрдпрдХреНрд░рдорд╛рдиреЗ рдореВрд│ рдкреНрд░рдХреНрд░рд┐рдпреЗрдЪреА рд╕реНрдореГрддреА рдореБрдХреНрдд рдХреЗрд▓реАsvchost.exe
рдирдВрддрд░ рдпрд╛ рдкрддреНрддреНрдпрд╛рд╡рд░ рдкреЗрд▓реЛрдбрд╕рд╛рдареА рдореЗрдорд░реА рд╡рд╛рдЯрдк рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА; - рдкреНрд░реЛрд╕реЗрд╕ рдЕреЕрдбреНрд░реЗрд╕ рд╕реНрдкреЗрд╕рдордзреНрдпреЗ рдкреЗрд▓реЛрдбрд╕рд╛рдареА рд╡рд╛рдЯрдк рдХреЗрд▓реЗрд▓реА рдореЗрдорд░реА
svchost.exe
рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрдиVirtualAllocEx
;
рдЗрдВрдЬреЗрдХреНрд╢рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реБрд░реВ
- рдкреЗрд▓реЛрдбрдЪреА рд╕рд╛рдордЧреНрд░реА рдкреНрд░реЛрд╕реЗрд╕ рдЕреЕрдбреНрд░реЗрд╕ рд╕реНрдкреЗрд╕рдордзреНрдпреЗ рд▓рд┐рд╣рд┐рд▓реА
svchost.exe
рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрдиWriteProcessMemory
(рдЦрд╛рд▓реАрд▓ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдкреНрд░рдорд╛рдгреЗ); - рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдкреБрдиреНрд╣рд╛ рд╕реБрд░реВ рдХреЗрд▓реА
svchost.exe
рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрдиResumeThread
.
рдЗрдВрдЬреЗрдХреНрд╢рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдкреВрд░реНрдг рдХрд░рдгреЗ
рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдгреНрдпрд╛рдпреЛрдЧреНрдп рдорд╛рд▓рд╡реЗрдЕрд░
рд╡рд░реНрдгрди рдХреЗрд▓реЗрд▓реНрдпрд╛ рдХреНрд░рд┐рдпрд╛рдВрдЪреНрдпрд╛ рдкрд░рд┐рдгрд╛рдореА, рд╕рдВрдХреНрд░рдорд┐рдд рд╕рд┐рд╕реНрдЯрдорд╡рд░ рдЕрдиреЗрдХ RAT-рд╢реНрд░реЗрдгреА рдорд╛рд▓рд╡реЗрдЕрд░ рд╕реНрдерд╛рдкрд┐рдд рдХреЗрд▓реЗ рдЧреЗрд▓реЗ. рдЦрд╛рд▓реАрд▓ рддрдХреНрддреНрдпрд╛рдордзреНрдпреЗ рд╣рд▓реНрд▓реНрдпрд╛рдд рд╡рд╛рдкрд░рд▓реЗрд▓реНрдпрд╛ рдорд╛рд▓рд╡реЗрдЕрд░рдЪреА рд╕реВрдЪреА рджрд┐рд▓реА рдЖрд╣реЗ, рдЬреНрдпрд╛рдЪреЗ рд╢реНрд░реЗрдп рдЖрдореНрд╣реА рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдВрдЪреНрдпрд╛ рдПрдХрд╛ рдЧрдЯрд╛рд▓рд╛ рджреЗрдК рд╢рдХрддреЛ, рдХрд╛рд░рдг рдирдореБрдиреЗ рд╕рдорд╛рди рдХрдорд╛рдВрдб рдЖрдгрд┐ рдХрдВрдЯреНрд░реЛрд▓ рд╕рд░реНрд╡реНрд╣рд░рдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдХрд░рддрд╛рдд.
рдорд╛рд▓рд╡реЗрдЕрд░рдЪреЗ рдирд╛рд╡
рдкреНрд░рдердо рдкрд╛рд╣рд┐рд▓реЗ
SHA-256
рд╕реА рдЖрдгрд┐ рд╕реА
рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЬреНрдпрд╛рдордзреНрдпреЗ рдЗрдВрдЬреЗрдХреНрд╢рди рдЪрд╛рд▓рддреЗ
рдбрд╛рд░реНрдХрдЯреНрд░реЕрдХ
16-04-2020
ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702
kimjoy007.dyndns[.]org:2017
svchost
рд▓рдВрдмрди
24-04-2020
b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043
kimjoy007.dyndns[.]org:2019
svchost
рдпреБрджреНрдз рдХреНрд╖реЗрддреНрд░
18-05-2020
3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3
kimjoy007.dyndns[.]org:9933
svchost
рдиреЗрдЯрд╡рд╛рдпрд░
20-05-2020
6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d
kimjoy007.dyndns[.]org:2000
svchost
рд╕рдорд╛рди рдирд┐рдпрдВрддреНрд░рдг рд╕рд░реНрд╡реНрд╣рд░рд╕рд╣ рд╡рд┐рддрд░рд┐рдд рдорд╛рд▓рд╡реЗрдЕрд░рдЪреА рдЙрджрд╛рд╣рд░рдгреЗ
рдпреЗрдереЗ рджреЛрди рдЧреЛрд╖реНрдЯреА рд▓рдХреНрд╖рд╛рдд рдШреЗрдгреНрдпрд╛рдЬреЛрдЧреНрдпрд╛ рдЖрд╣реЗрдд.
рдкреНрд░рдердо, рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдиреА рдПрдХрд╛рдЪ рд╡реЗрд│реА рдЕрдиреЗрдХ рднрд┐рдиреНрди RAT рдХреБрдЯреБрдВрдмрд╛рдВрдЪрд╛ рд╡рд╛рдкрд░ рдХреЗрд▓рд╛ рд╣реА рд╡рд╕реНрддреБрд╕реНрдерд┐рддреА. рд╣реЗ рд╡рд░реНрддрди рд╕реБрдкреНрд░рд╕рд┐рджреНрдз рд╕рд╛рдпрдмрд░ рдЧрдЯрд╛рдВрд╕рд╛рдареА рд╡реИрд╢рд┐рд╖реНрдЯреНрдпрдкреВрд░реНрдг рдирд╛рд╣реА, рдЬреЗ рд╕рд╣рд╕рд╛ рддреНрдпрд╛рдВрдирд╛ рдкрд░рд┐рдЪрд┐рдд рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рд╕рд╛рдзрдирд╛рдВрдЪрд╛ рдЕрдВрджрд╛рдЬреЗ рд╕рдорд╛рди рд╕рдВрдЪ рд╡рд╛рдкрд░рддрд╛рдд.
рджреБрд╕рд░реЗ рдореНрд╣рдгрдЬреЗ, RATKing рдиреЗ рдорд╛рд▓рд╡реЗрдЕрд░ рд╡рд╛рдкрд░рд▓реЗ рдЬреЗ рдПрдХрддрд░ рд╡рд┐рд╢реЗрд╖ рдордВрдЪрд╛рдВрд╡рд░ рдХрдореА рдХрд┐рдорддреАрдд рд╡рд┐рдХрд▓реЗ рдЬрд╛рддреЗ рдХрд┐рдВрд╡рд╛ рдЕрдЧрджреА рдУрдкрди рд╕реЛрд░реНрд╕ рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдЖрд╣реЗ.
рдореЛрд╣рд┐рдореЗрдд рд╡рд╛рдкрд░рд▓реЗрд▓реНрдпрд╛ рдорд╛рд▓рд╡реЗрдЕрд░рдЪреА рдЕрдзрд┐рдХ рд╕рдВрдкреВрд░реНрдг рдпрд╛рджреАтАФрдПрдХрд╛ рдорд╣рддреНрддреНрд╡рд╛рдЪреНрдпрд╛ рдЪреЗрддрд╛рд╡рдгреАрд╕рд╣тАФрд▓реЗрдЦрд╛рдЪреНрдпрд╛ рд╢реЗрд╡рдЯреА рджрд┐рд▓реЗрд▓реА рдЖрд╣реЗ.
рдЧрдЯрд╛рдмрджреНрджрд▓
рдЖрдореНрд╣реА рд╡рд░реНрдгрди рдХреЗрд▓реЗрд▓реНрдпрд╛ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдореЛрд╣рд┐рдореЗрдЪреЗ рд╢реНрд░реЗрдп рдХреЛрдгрддреНрдпрд╛рд╣реА рдЬреНрдЮрд╛рдд рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдирд╛ рджреЗрдК рд╢рдХрдд рдирд╛рд╣реА. рдЖрддреНрддрд╛рд╕рд╛рдареА, рдЖрдордЪрд╛ рд╡рд┐рд╢реНрд╡рд╛рд╕ рдЖрд╣реЗ рдХреА рд╣реЗ рд╣рд▓реНрд▓реЗ рдореВрд▓рднреВрддрдкрдгреЗ рдирд╡реАрди рдЧрдЯрд╛рдиреЗ рдХреЗрд▓реЗ рд╣реЛрддреЗ. рдЖрдореНрд╣реА рд╕реБрд░реБрд╡рд╛рддреАрд▓рд╛ рд▓рд┐рд╣рд┐рд▓реНрдпрд╛рдкреНрд░рдорд╛рдгреЗ, рдЖрдореНрд╣реА рддреНрдпрд╛рд▓рд╛ RATKing рдореНрд╣рдгрддреЛ.
VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рддрдпрд╛рд░ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА, рдЧрдЯрд╛рдиреЗ рдХрджрд╛рдЪрд┐рдд рдпреБрдЯрд┐рд▓рд┐рдЯреА рд╕рд╛рд░рдЦреЗ рд╕рд╛рдзрди рд╡рд╛рдкрд░рд▓реЗ рдЕрд╕реЗрд▓
- рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрди рд╡рд┐рд▓рдВрдмрд┐рдд рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреА рдХрд░рд╛
Sleep
; - WMI рд╡рд╛рдкрд░рд╛;
- рдПрдХреНрдЭрд┐рдХреНрдпреБрдЯреЗрдмрд▓ рдлрд╛рдЗрд▓рдЪреНрдпрд╛ рдореБрдЦреНрдп рднрд╛рдЧрд╛рдЪреА рдиреЛрдВрджрдгреА рдХреА рдкреЕрд░рд╛рдореАрдЯрд░ рдореНрд╣рдгреВрди рдиреЛрдВрджрдгреА рдХрд░рд╛;
- рдкреЙрд╡рд░рд╢реЗрд▓ рд╡рд╛рдкрд░реВрди рд╣реА рдлрд╛рдЗрд▓ рд╕реНрд╡рддрдГрдЪреНрдпрд╛ рдЕреЕрдбреНрд░реЗрд╕ рд╕реНрдкреЗрд╕рдордзреНрдпреЗ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХрд░рд╛.
рд╕реНрдкрд╖реНрдЯрддреЗрд╕рд╛рдареА, рд░реЗрдЬрд┐рд╕реНрдЯреНрд░реАрдордзреВрди рдлрд╛рдЗрд▓ рдЪрд╛рд▓рд╡рдгреНрдпрд╛рд╕рд╛рдареА рдкреЙрд╡рд░рд╢реЗрд▓ рдХрдорд╛рдВрдбрдЪреА рддреБрд▓рдирд╛ рдХрд░рд╛, рдЬреА VBS-Crypter рд╡рд╛рдкрд░реВрди рддрдпрд╛рд░ рдХреЗрд▓реЗрд▓реНрдпрд╛ рд╕реНрдХреНрд░рд┐рдкреНрдЯрджреНрд╡рд╛рд░реЗ рд╡рд╛рдкрд░рд▓реА рдЬрд╛рддреЗ:
((Get-ItemPropertyHKCU:SoftwareNYANxCAT).NYANxCAT);$text=-join$text[-1..-$text.Length];[AppDomain]::CurrentDomain.Load([Convert]::FromBase64String($text)).EntryPoint.Invoke($Null,$Null);
рд╣рд▓реНрд▓реЗрдЦреЛрд░ рд╕реНрдХреНрд░рд┐рдкреНрдЯрдиреЗ рд╡рд╛рдкрд░рд▓реЗрд▓реНрдпрд╛ рд╕рдорд╛рди рдХрдорд╛рдВрдбрд╕рд╣:
[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0
рд▓рдХреНрд╖рд╛рдд рдШреНрдпрд╛ рдХреА рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдиреА рдкреЗрд▓реЛрдбрдкреИрдХреА рдПрдХ рдореНрд╣рдгреВрди NYAN-x-CAT рдордзреАрд▓ рджреБрд╕рд░реА рдЙрдкрдпреБрдХреНрддрддрд╛ рд╡рд╛рдкрд░рд▓реА -
C&C рд╕рд░реНрд╡реНрд╣рд░рдЪреЗ рдкрддреНрддреЗ RATKing рдЪреЗ рдЖрдгрдЦреА рдПрдХ рд╡рд┐рд╢рд┐рд╖реНрдЯ рд╡реИрд╢рд┐рд╖реНрдЯреНрдп рджрд░реНрд╢рд╡рддрд╛рдд: рдЧрдЯ рдбрд╛рдпрдиреЕрдорд┐рдХ DNS рд╕реЗрд╡рд╛рдВрдирд╛ рдкреНрд░рд╛рдзрд╛рдиреНрдп рджреЗрддреЛ (IoC рдЯреЗрдмрд▓рдордзреАрд▓ C&C рдЪреА рд╕реВрдЪреА рдкрд╣рд╛).
IoC
рдЦрд╛рд▓реАрд▓ рд╕рд╛рд░рдгреА VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯрдЪреА рд╕рдВрдкреВрд░реНрдг рдпрд╛рджреА рдкреНрд░рджрд╛рди рдХрд░рддреЗ рдЬреНрдпрд╛рдЪреЗ рдмрд╣реБрдзрд╛ рд╡рд░реНрдгрди рдХреЗрд▓реЗрд▓реНрдпрд╛ рдореЛрд╣рд┐рдореЗрдЪреЗ рд╢реНрд░реЗрдп рджрд┐рд▓реЗ рдЬрд╛рдК рд╢рдХрддреЗ. рдпрд╛ рд╕рд░реНрд╡ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд╕рдорд╛рди рдЖрд╣реЗрдд рдЖрдгрд┐ рдХреНрд░рд┐рдпрд╛рдВрдЪрд╛ рдЕрдВрджрд╛рдЬреЗ рд╕рдорд╛рди рдХреНрд░рдо рдХрд░рддрд╛рдд. рддреЗ рд╕рд░реНрд╡ рд╡рд┐рд╢реНрд╡рд╕рдиреАрдп Windows рдкреНрд░рдХреНрд░рд┐рдпреЗрдордзреНрдпреЗ RAT рд╡рд░реНрдЧ рдорд╛рд▓рд╡реЗрдЕрд░ рдЗрдВрдЬреЗрдХреНрдЯ рдХрд░рддрд╛рдд. рдпрд╛ рд╕рд░реНрд╡рд╛рдВрдХрдбреЗ рдбрд╛рдпрдиреЕрдорд┐рдХ DNS рд╕реЗрд╡рд╛ рд╡рд╛рдкрд░реВрди C&C рдкрддреНрддреЗ рдиреЛрдВрджрдгреАрдХреГрдд рдЖрд╣реЗрдд.
рддрдерд╛рдкрд┐, рд╕рдорд╛рди C&C рдкрддреНрддреНрдпрд╛рдВрд╕рд╣ (рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, kimjoy007.dyndns.org) рдирдореБрдиреНрдпрд╛рдВрдЪрд╛ рдЕрдкрд╡рд╛рдж рд╡рдЧрд│рддрд╛, рдпрд╛ рд╕рд░реНрд╡ рд╕реНрдХреНрд░рд┐рдкреНрдЯреНрд╕ рд╕рдорд╛рди рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдВрдиреА рд╡рд┐рддрд░рд┐рдд рдХреЗрд▓реНрдпрд╛рдЪрд╛ рджрд╛рд╡рд╛ рдЖрдореНрд╣реА рдХрд░реВ рд╢рдХрдд рдирд╛рд╣реА.
рдорд╛рд▓рд╡реЗрдЕрд░рдЪреЗ рдирд╛рд╡
SHA-256
рд╕реА рдЖрдгрд┐ рд╕реА
рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЬреНрдпрд╛рдордзреНрдпреЗ рдЗрдВрдЬреЗрдХреНрд╢рди рдЪрд╛рд▓рддреЗ
рд▓рдВрдмрди
b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043
kimjoy007.dyndns.org
svchost
00edb8200dfeee3bdd0086c5e8e07c6056d322df913679a9f22a2b00b836fd72
hope.doomdns.org
svchost
504cbae901c4b3987aa9ba458a230944cb8bd96bbf778ceb54c773b781346146
kimjoy007.dyndns.org
svchost
1487017e087b75ad930baa8b017e8388d1e99c75d26b5d1deec8b80e9333f189
kimjoy007.dyndns.org
svchost
c4160ec3c8ad01539f1c16fb35ed9c8c5a53a8fda8877f0d5e044241ea805891
franco20.dvrdns.org
svchost
515249d6813bb2dde1723d35ee8eb6eeb8775014ca629ede017c3d83a77634ce
kimjoy007.dyndns.org
svchost
1b70f6fee760bcfe0c457f0a85ca451ed66e61f0e340d830f382c5d2f7ab803f
franco20.dvrdns.org
svchost
b2bdffa5853f29c881d7d9bff91b640bc1c90e996f85406be3b36b2500f61aa1
hope.doomdns.org
svchost
c9745a8f33b3841fe7bfafd21ad4678d46fe6ea6125a8fedfcd2d5aee13f1601
kimjoy007.dyndns.org
svchost
1dfc66968527fbd4c0df2ea34c577a7ce7a2ba9b54ba00be62120cc88035fa65
franco20.dvrdns.org
svchost
c6c05f21e16e488eed3001d0d9dd9c49366779559ad77fcd233de15b1773c981
kimjoy007.dyndns.org
рд╕реАрдПрдордбреА
3b785cdcd69a96902ee62499c25138a70e81f14b6b989a2f81d82239a19a3aed
hope.doomdns.org
svchost
4d71ceb9d6c53ac356c0f5bdfd1a5b28981061be87e38e077ee3a419e4c476f9
2004para.ddns.net
svchost
00185cc085f284ece264e3263c7771073a65783c250c5fd9afc7a85ed94acc77
hope.doomdns.org
svchost
0342107c0d2a069100e87ef5415e90fd86b1b1b1c975d0eb04ab1489e198fc78
franco20.dvrdns.org
svchost
de33b7a7b059599dc62337f92ceba644ac7b09f60d06324ecf6177fff06b8d10
kimjoy007.dyndns.org
svchost
80a8114d63606e225e620c64ad8e28c9996caaa9a9e87dd602c8f920c2197007
kimjoy007.dyndns.org
svchost
acb157ba5a48631e1f9f269e6282f042666098614b66129224d213e27c1149bb
hope.doomdns.org
рд╕реАрдПрдордбреА
bf608318018dc10016b438f851aab719ea0abe6afc166c8aea6b04f2320896d3
franco20.dvrdns.org
svchost
4d0c9b8ad097d35b447d715a815c67ff3d78638b305776cde4d90bfdcb368e38
hope.doomdns.org
svchost
e7c676f5be41d49296454cd6e4280d89e37f506d84d57b22f0be0d87625568ba
kimjoy007.dyndns.org
svchost
9375d54fcda9c7d65f861dfda698e25710fda75b5ebfc7a238599f4b0d34205f
franco20.dvrdns.org
svchost
128367797fdf3c952831c2472f7a308f345ca04aa67b3f82b945cfea2ae11ce5
kimjoy007.dyndns.org
svchost
09bd720880461cb6e996046c7d6a1c937aa1c99bd19582a562053782600da79d
hope.doomdns.org
svchost
0a176164d2e1d5e2288881cc2e2d88800801001d03caedd524db365513e11276
paradickhead.homeip.net
svchost
0af5194950187fd7cbd75b1b39aab6e1e78dae7c216d08512755849c6a0d1cbe
hope.doomdns.org
svchost
рдпреБрджреНрдз рдХреНрд╖реЗрддреНрд░
3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3
kimjoy007.dyndns.org
svchost
db0d5a67a0ced6b2de3ee7d7fc845a34b9d6ca608e5fead7f16c9a640fa659eb
kimjoy007.dyndns.org
svchost
рдиреЗрдЯрд╡рд╛рдпрд░
6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d
kimjoy007.dyndns.org
svchost
рдбрд╛рд░реНрдХрдЯреНрд░реЕрдХ
ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702
kimjoy007.dyndns.org
svchost
WSH RAT
d410ced15c848825dcf75d30808cde7784e5b208f9a57b0896e828f890faea0e
anekesolution.linkpc.net
RegAsm
рдЪреБрдирд╛
896604d27d88c75a475b28e88e54104e66f480bcab89cc75b6cdc6b29f8e438b
softmy.duckdns.org
RegAsm
QuasarRAT
bd1e29e9d17edbab41c3634649da5c5d20375f055ccf968c022811cd9624be57
darkhate-23030.portmap.io
RegAsm
12044aa527742282ad5154a4de24e55c9e1fae42ef844ed6f2f890296122153b
darkhate-23030.portmap.io
RegAsm
be93cc77d864dafd7d8c21317722879b65cfbb3297416bde6ca6edbfd8166572
darkhate-23030.portmap.io
RegAsm
933a136f8969707a84a61f711018cd21ee891d5793216e063ac961b5d165f6c0
darkhate-23030.portmap.io
RegAsm
71dea554d93728cce8074dbdb4f63ceb072d4bb644f0718420f780398dafd943
chrom1.myq-see.com
RegAsm
0d344e8d72d752c06dc6a7f3abf2ff7678925fde872756bf78713027e1e332d5
darkhate-23030.portmap.io
RegAsm
0ed7f282fd242c3f2de949650c9253373265e9152c034c7df3f5f91769c6a4eb
darkhate-23030.portmap.io
RegAsm
aabb6759ce408ebfa2cc57702b14adaec933d8e4821abceaef0c1af3263b1bfa
darkhate-23030.portmap.io
RegAsm
1699a37ddcf4769111daf33b7d313cf376f47e92f6b92b2119bd0c860539f745
darkhate-23030.portmap.io
RegAsm
3472597945f3bbf84e735a778fd75c57855bb86aca9b0a4d0e4049817b508c8c
darkhate-23030.portmap.io
RegAsm
809010d8823da84cdbb2c8e6b70be725a6023c381041ebda8b125d1a6a71e9b1
darkhate-23030.portmap.io
RegAsm
4217a2da69f663f1ab42ebac61978014ec4f562501efb2e040db7ebb223a7dff
darkhate-23030.portmap.io
RegAsm
08f34b3088af792a95c49bcb9aa016d4660609409663bf1b51f4c331b87bae00
darkhate-23030.portmap.io
RegAsm
79b4efcce84e9e7a2e85df7b0327406bee0b359ad1445b4f08e390309ea0c90d
darkhate-23030.portmap.io
RegAsm
12ea7ce04e0177a71a551e6d61e4a7916b1709729b2d3e9daf7b1bdd0785f63a
darkhate-23030.portmap.io
RegAsm
d7b8eb42ae35e9cc46744f1285557423f24666db1bde92bf7679f0ce7b389af9
darkhate-23030.portmap.io
RegAsm
def09b0fed3360c457257266cb851fffd8c844bc04a623c210a2efafdf000d5c
darkhate-23030.portmap.io
RegAsm
50119497c5f919a7e816a37178d28906fb3171b07fc869961ef92601ceca4c1c
darkhate-23030.portmap.io
RegAsm
ade5a2f25f603bf4502efa800d3cf5d19d1f0d69499b0f2e9ec7c85c6dd49621
darkhate-23030.portmap.io
RegAsm
189d5813c931889190881ee34749d390e3baa80b2c67b426b10b3666c3cc64b7
darkhate-23030.portmap.io
RegAsm
c3193dd67650723753289a4aebf97d4c72a1afe73c7135bee91c77bdf1517f21
darkhate-23030.portmap.io
RegAsm
a6f814f14698141753fc6fb7850ead9af2ebcb0e32ab99236a733ddb03b9eec2
darkhate-23030.portmap.io
RegAsm
a55116253624641544175a30c956dbd0638b714ff97b9de0e24145720dcfdf74
darkhate-23030.portmap.io
RegAsm
d6e0f0fb460d9108397850169112bd90a372f66d87b028e522184682a825d213
darkhate-23030.portmap.io
RegAsm
522ba6a242c35e2bf8303e99f03a85d867496bbb0572226e226af48cc1461a86
darkhate-23030.portmap.io
RegAsm
fabfdc209b02fe522f81356680db89f8861583da89984c20273904e0cf9f4a02
darkhate-23030.portmap.io
RegAsm
08ec13b7da6e0d645e4508b19ba616e4cf4e0421aa8e26ac7f69e13dc8796691
darkhate-23030.portmap.io
RegAsm
8433c75730578f963556ec99fbc8d97fa63a522cef71933f260f385c76a8ee8d
darkhate-23030.portmap.io
RegAsm
99f6bfd9edb9bf108b11c149dd59346484c7418fc4c455401c15c8ac74b70c74
darkhate-23030.portmap.io
RegAsm
d13520e48f0ff745e31a1dfd6f15ab56c9faecb51f3d5d3d87f6f2e1abe6b5cf
darkhate-23030.portmap.io
RegAsm
9e6978b16bd52fcd9c331839545c943adc87e0fbd7b3f947bab22ffdd309f747
darkhate-23030.portmap.io
RegAsmтБа
рд╕реНрддреНрд░реЛрдд: www.habr.com