á¡ááŒá
áºá¡áá»á¬ážáá¯á¶áž ááá¯ááºááá¯ááºááŸá¯á¡áá»áá¯ážá¡á
á¬ážáá
áºáá¯ááŸá¬ áá¯á¶ážááá±ážá
á¬ážááá¯ááºáá±á¬ áá¯ááºáááºážá
ááºáá»á¬ážá¡á±á¬ááºááœáẠáá
áºáááºáá
áºáááºááœáẠá¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºáááºážá
ááºááᯠáá±á«ááºááœá¬ážááŒááºážááŒá
áºáá«áááºá á
á®áá¶áá±á¬ááºááœááºááá¯ááºáá±á¬ ááá¯ááºáá®ááá¯á· áááºážááŒá±á¬ááºážááẠáá¶ááááŒá
áºááœááºááŸáááá¯ááºáááº- malware ááẠAppData ááá¯á·ááá¯áẠTemp ááá¯ááºááœá²áá»á¬ážááᯠáááŒá¬áá á¡áá¯á¶ážááŒá¯áá±á·ááŸáááŒá®áž áááºážááẠááá¬ážáááºáááá¯ááááºáá»á¬ážá¡ááœáẠáá¯á¶ááŸááºááá¯ááºáá±á ááá¬ážáá»áŸáá
á±áááºá¡ááœááºá á¡áá»áá¯á·áá±á¬ á¡ááá¯á¡áá»á±á¬ááºá¡ááºááááºá¡áá¯á¶ážá¡áá±á¬ááºáá»á¬ážááᯠAppData ááœáẠáá¯ááºáá±á¬ááºáááºáᯠááá¯ááá»áá¯ážáááºáááºá ááá¯á·ááŒá±á¬áá·áº áááá¯ááááºááẠá¡áá¹ááá¬ááºááŸáááŒá±á¬ááºáž á¡áááºááŒá¯ááẠááá¯á¶áá±á¬ááºáá«á
ááá¬ážáááºááŸá¯ááá±á¬ááºáááºá¡áá»ááºáá áºáá¯ááŸá¬ áá¯ááºááŸááºáááºá¹áá±ááá áºáá¯ááŒá áºáááº- áá°áááºážáááá¯ááááºáá»á¬ážá áœá¬ááᯠáá±á¬ááºážáá»áá°á០áááºááŸááºáá±ážááá¯ážáá¬ážáááºá áá¶ááááŒá áºááœáẠstartup áá á¹á ááºážáá»á¬ážááᯠáá±á¬áºáá¯ááºáááºá¡ááœáẠáááºááŸááºáááŸááá°áá±á¬á¡áá»ááºááᯠáááºáá¯á¶ážááá¯ááºáááºá ááá¯á·áá±á¬áº áááºážááá¯ááºááá¯áẠáááºááŸááºááá¯ážááẠááá¯ážáá°áá¬ážáá±á¬ áááºááŸááºááᯠá¡áá¯á¶ážááŒá¯ááá·áº malware áááºáž ááŸááá±ááŒááºáááºá
MD5 ááá¯á·ááá¯áẠSHA256 á áá»áŸáá¯á·ááŸááºá á¬ááŸáẠhash áá»á¬ážááááºááá¯ážááá¯áááºáž á á áºáá±ážááá¯ááºáááºá áááºážááẠááááºá ááœá±á·ááŸááá¬ážáá±á¬ malware á¡áá»áá¯á·ááŸáá·áº áááºá ááºááá¯ááºááẠá áááá¯ááááºááŸá áááºááŸááºáá»á¬ážááᯠááŒáá·áºááŒááºážááŒáá·áº (Yara á ááºážáá»ááºážáá»á¬áž ááá¯á·ááá¯áẠááá¯ááºážáááºá áºááŸáááºáááºážáá±áž áá¯ááºáá¯ááºáá»á¬áž) ááᯠá¡áá¯á¶ážááŒá¯á áááºááŒáááºáá±á¬ ááœá²ááŒááºážá áááºááŒá¬ááŸá¯ááᯠáááºáá¯ááºáá±á¬ááºááá¯ááºáááºá ááá¯ááºážááá áºááœá²ááŒááºážá áááºááŒá¬ááŸá¯ (á¡áá»áá¯á·áá±á¬ áá±ážáááºážáá±á¬áááºáááºážáá»ááºááœáẠáááá¯ááááºáá áºáá¯áá¯ááºáá±á¬ááºááŒááºážááŸáá·áº áááºážááá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºááŒááºáž) ááŸáá·áº ááŒá±á¬ááºážááŒááºá¡ááºáá»ááºáá®áá¬áá»á¬ážáááºáž ááŸááá«áááºá
á¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºáááºážá
ááºá ááá¹ááá¬áá»á¬ážá
áœá¬ ááŸáááá¯ááºáá«áááºá á€áá±á¬ááºážáá«ážááœáẠáá»áœááºá¯ááºááá¯á·ááẠWindows ááœáẠáááºááá¯ááºáᬠááŒá
áºáááºáá»á¬ážááᯠá
á¬áááºážá
á
áºááŒááºážá¡á¬áž áááºááá¯á·ááœáá·áºááááºááᯠááŒá±á¬ááŒáááºááŒá
áºááŒá®ážá Built-in á
ááºážáá»ááºážá¡áá±á«áº ááŸá®ááá¯áá±ááá·áº ááá¹ááá¬áá»á¬ážááᯠááœá²ááŒááºážá
áááºááŒá¬áá«áááºá
áááá¯ááááºááá¯á
áááºáá±á¬á¡áá«á áááºážááá¯ááœááºáá»á°áá¬áááŸááºáá¬ááºáá²ááá¯á·ááá·áºááœááºážáááºá executable file ááœáẠááœááºáá»á°áᬠááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááŸáá·áº áá¶á·ááá¯ážáá±ážááá·áº á
á¬ááŒáá·áºááá¯ááºáá»á¬áž áá«áááºááẠ(á¥ááá¬á *.dll)á áá¯ááºáááºážá
ááºáá
áºáᯠáá¯ááºáá±á¬ááºáá±áá»áááºááœááºá áááºážááẠá¡ááá¯ááœá²áá»á¬ážááᯠáááºáá®ážááá¯ááºáááºá Threads áá»á¬ážááẠááá°áá®áá±á¬ ááœáŸááºááŒá¬ážáá»ááºá¡á
á¯á¶áá»á¬ážááᯠáá
áºááŒáá¯ááºááẠáá¯ááºáá±á¬ááºááẠáá¯ááºáááºážá
ááºááᯠááœáá·áºááŒá¯áááºá á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááẠááŸááºáá¬ááºááᯠááá¯ážáá±á¬ááºáááºáá±á¬ááºáááºááŸáá·áº áá¯ááºáá±á¬ááºááẠáááºážáááºážáá»á¬ážá
áœá¬ ááŸááááºá áááºážááá¯á·áá²á០á¡áá»áá¯á·ááᯠááŒáá·áºááŒáá«á
áá¯á·á
á¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºáááºážá ááºááᯠá áááºááẠá¡ááœááºáá°áá¯á¶ážáááºážáááºážááŸá¬ áá¯á¶ážá áœá²áá°á¡á¬áž áááºážááᯠááá¯ááºááá¯ááºááœáá·áºááẠ(á¥ááá¬á á¡á®ážáá±ážáẠáá°ážááœá²áá«ááá¯ááºáá áºáá¯ááŸ) á¡á¬áž ááœááºážá¡á¬ážáá±ážáááºááŸáá·áº ááœááºááŒá°áá¬ááœáá·áºááá¯ááºáž ááœáá·áºááá¯ááºáž RunOnce áá®ážááᯠá¡áá¯á¶ážááŒá¯áá«á áááºážááœáẠá¡á áá»áá¯ážááŸá¯á¡áá±á«áº á¡ááŒá±áá¶á áá¯ááºáá±á¬ááºááá·áº registry keys áá»á¬ážááœáẠPowerShell script áá»á¬ážááᯠááááºážáááºážááá·áº âfilelessâ malware áááºáž áá«áááºáá«áááºá á€ááá á¹á ááœááºá PowerShell script ááẠá¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááŒá áºáááºá
ááŒááºáá¬ážá áœá¬ áá¯ááºáá±á¬ááºáá±ááá·áº Malware á ááŒá¿áá¬ááŸá¬ áááºážááẠá¡ááœááºááá° ááááŸáááá¯ááºáá±á¬ áá»ááºážáááºááŸá¯áá áºáá¯ááŒá áºáááºá á¡áá»áá¯á·áá±á¬ Malware áá»á¬ážááẠMemory ááœáẠá áááºáá¯ááºáá±á¬ááºááẠá¡ááŒá¬ážáá¯ááºáááºážá ááºááᯠá¡áá¯á¶ážááŒá¯ááŒááºážáá²á·ááá¯á·áá±á¬ áááºááŒááºááá·áºá¡áá¬áá»á¬ážááᯠáá¯ááºáá±á¬ááºáááºá ááá¯á·ááŒá±á¬áá·áºá áá¯ááºáááºážá ááºáá áºáá¯ááẠáááá»áá±á¬ááœááºááŒá°áá¬ááœáŸááºááŒá¬ážáá»ááºáá áºáá¯ááᯠrun áááºááŸáá·áº run ááẠexecutable file (.exe) ááᯠáááºááŸááºááŒááºážááŒáá·áº á¡ááŒá¬ážáá¯ááºáááºážá ááºáá áºáá¯ááᯠáááºáá®ážááá¯ááºáááºá
ááá¯ááºááᯠáááºážááŒá±á¬ááºážá¡ááŒáá·áºá¡á á¯á¶ (á¥ááá¬á C:Windowssystem32cmd.exe) ááá¯á·ááá¯áẠáá áºá áááºáá áºááá¯ááºážáááºážááŒá±á¬ááºáž (á¥ááᬠcmd.exe) ááᯠá¡áá¯á¶ážááŒá¯á áááºááŸááºááá¯ááºáá«áááºá áá°ááá¯ááºáááºážá ááºááẠááá¯á¶ááŒá¯á¶áá«áá áááºážááẠááá¬ážááááºáááá¯ááááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááá¯ááºáááºááŒá áºáááºá ááá¯ááºááá¯ááºááŸá¯áá áºáá¯ááẠá€áá²á·ááá¯á·ááŒá áºááá¯ááºáááº- áá¯ááºáááºážá ááºáá áºáá¯ááẠáááºážááŒá±á¬ááºážá¡ááŒáá·áºá¡á á¯á¶ááá¯ááááºááŸááºáá² cmd.exe ááá¯ááœáá·áºáááºá ááá¯ááºááá¯ááºáá°ááẠáááºážá cmd.exe ááá¯ááá¬ážáááºáá áºáá¯ááŸá±á·ááœááºááœáá·áºáááºá¡ááœáẠáááºážááá¯áá±áá¬áá áºáá¯ááá¬ážááŸááááºá Malware áááºáááºáááºááŸáá·áºáááŒáá¯ááºááẠáá°áááºážáááá¯ááááºááẠáá±á¬ááºážááœááºá áœá¬á¡áá¯ááºáá¯ááºááá¯ááºá á±áááºá¡ááœáẠááá¬ážáááºáááá¯áááẠ(C:Windowssystem32cmd.exe) ááᯠá áááºááá¯ááºáááºá
ááááºááá¯ááºááá¯ááºááŸá¯á ááŒá±á¬ááºážáá²ááŸá¯ááẠááá¬ážáááºáá±á¬áá¯ááºáááºážá ááºá¡ááŒá ẠDLL ááá¯ážááŒááºážááŒá áºáá«áááºá áá¯ááºáááºážá ááºáá áºáá¯á áááºáá±á¬á¡áá«á áááºážááẠáááºážááá¯ááºáá±á¬ááºááá¯ááºá áœááºážááᯠááá¯ážáá»á²á·áá¬ážááá·áº á á¬ááŒáá·áºááá¯ááºáá»á¬ážááᯠááŸá¬ááœá±ááŒá®áž áááºáá«áááºá DLL ááá¯ážáá±ážááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ááºáá°ááẠááá¬ážáááºáá áºáá¯á¡ááŒá Ạá¡áááºááŸáá·áº API áá°áá®áá±á¬ á¡áá¹ááá¬ááºááŸááá±á¬á á¬ááŒáá·áºááá¯ááºáá áºáá¯ááᯠáááºáá®ážáááºá áááá¯ááááºááẠá¡áá¹ááá¬ááºááŸááá±á¬ áá áºáá»á áºááá¯ááºáá áºáá¯á¡á¬áž áááºá á±ááŒá®ážá áááºážááẠááá¬ážáááºáá±á¬ááá¯ááºáá áºáá¯á¡á¬áž áááºáᬠááá¯á¡ááºáááᯠáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááẠáááºážááᯠáá±á«áºáááºá á¡áá¹ááá¬ááºááŸááá±á¬á á¬ááŒáá·áºááá¯ááºááẠáá±á¬ááºážááœááºáá±á¬á á¬ááŒáá·áºááá¯ááºá¡ááœáẠááá±á¬ááºá á®áá áºáá¯á¡ááŒá Ạá áááºáá¯ááºáá±á¬ááºáááºá
á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠááŸááºáá¬ááºáá²ááá¯á· ááá·áºááẠá¡ááŒá¬ážáááºážáááºážááŸá¬ áááºážááᯠáá¯ááºáá±á¬ááºáá±ááŒá®áž ááá¯á¶ááŒá¯á¶áá±á¬ áá¯ááºáááºážá ááºáá áºáá¯ááœáẠááá·áºááœááºážáááºááŒá áºáááºá áá¯ááºáááºážá ááºáá»á¬ážááẠáááºážááŒá áºá¡áá»áá¯ážáá»áá¯ážá០ááá·áºááœááºážááŸá¯ááᯠáááºáá¶áááŸáááẠ- ááœááºááẠááá¯á·ááá¯áẠááá¯ááºáá»á¬ážá០áááºááŸá¯ááŒááºážá áááºážááá¯á·ááẠáá¯á¶ááŸááºá¡á¬ážááŒáá·áº ááá·áºááœááºážááŸá¯á¡á¬áž ááá¬ážáááºááŒá±á¬ááºáž áá±áá»á¬á á±ááẠá á áºáá±ážááŸá¯áá»á¬áž ááŒá¯áá¯ááºááŒáááºá ááá¯á·áá±á¬áº á¡áá»áá¯á·áá±á¬ áá¯ááºáááºážá ááºáá»á¬ážááẠááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááá·áºá¡áá« ááá·áºáá»á±á¬áºáá±á¬ á¡áá¬á¡ááœáẠáááŸááá«á á€ááá¯ááºááá¯ááºááŸá¯ááœááºá á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºáá«ááŸááá±á¬ áá áºáẠááá¯á·ááá¯áẠáá¯ááºáá±á¬ááºááá¯ááºáá±á¬ ááá¯ááºáá±á«áºááœáẠá á¬ááŒáá·áºááá¯ááºáááŸááá«á áá¯ááºáááºážá ááºááᯠá¡áá¯á¶ážáá»ááŒá®áž á¡áá¬á¡á¬ážáá¯á¶ážááᯠmemory áá²ááœáẠááááºážáááºážáá¬ážáááºá
ááᯠWindows ááœááºááá¯áá²á·ááá¯á·áá±á¬ááŒá áºáááºáá»á¬ážá á¯á ááºážááŸá¯ááá¯ááœáá·áºáááºááŸáá·áºááá¯áá²á·ááá¯á·áá±á¬ááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážááá¯áá¬ááœááºáá±ážááá·áº InTrust ááŸáá ááºážáá»ááºážááá¯ááœáá·áºáááºáááºážáááºážááá¯ááŒáá·áºááŸá¯ááŒáá«á áá¯á·á áŠážá áœá¬á InTrust á á®áá¶ááá·áºááœá²ááŸá¯ ááœááºááá¯ážááºááŸáááá·áº áááºážááᯠá¡áááºááœááºážááŒáá«á áá¯á·á
á
ááºážáá»ááºážááẠWindows OS á áá¯ááºáááºážá
áẠááŒá±áá¬áá¶ááá¯ááºááŸá¯ááᯠá¡áá¯á¶ážááŒá¯áááºá áá¶ááá±á¬ááºážá
áœá¬áá²á ááá¯ááá¯á·áá±á¬ááŒá
áºáááºáá»á¬ážá
á¯á
ááºážááŸá¯ááᯠááœáá·áºáá¬ážááŒááºážááẠáááá¬áááºááŸá¬ážááŸáááºá áááºááŒá±á¬ááºážáá²áááºááá¯á¡ááºááá·áº ááá°áá®áá±á¬ Group Policy áááºááẠ3 áá¯ááŸááááºá
ááœááºáá»á°áᬠááœá²á·á ááºážááŸá¯ > áá°áá«ááá»á¬áž > Windows áááºáááºáá»á¬áž > áá¯á¶ááŒá¯á¶áá±áž áááºáááºáá»á¬áž > áá±áááá¯ááºáᬠáá°áá«á > á á¬áááºážá á áºáá°áá«á > á á¬áááºážá á áºáá¯ááºáááºážá áẠááŒá±áá¬áá¶ááŒááºáž
ááœááºáá»á°áá¬ááœá²á·á
ááºážáá¯á¶ > áá°áá«ááá»á¬áž > Windows áááºáááºáá»á¬áž > áá¯á¶ááŒá¯á¶áá±ážáááºáááºáá»á¬áž > á¡ááá·áºááŒáá·áºá
á¬áááºážá
á
áºáá°áá«áááœá²á·á
ááºážáá¯á¶ > á
á¬áááºážá
á
áºáá°áá«ááá»á¬áž > á¡áá±ážá
áááºááŒá±áá¬áá¶ááŒááºáž > á
á¬áááºážá
á
áºáá¯ááºáááºážá
ááºáááºáá®ážááŸá¯
ááœááºáá»á°áá¬áá¯á¶á
á¶ááœá²á·á
ááºážááŸá¯ > áá°áá«ááá»á¬áž > á
á®áá¶ááá·áºááœá²áá±ážáá¯á¶á
á¶áá»á¬áž > á
áá
Ạ> á
á¬áááºážá
á
áºáá¯ááºáááºážá
ááºáááºáá®ážááŸá¯ > áá¯ááºáááºážá
ááºáááºáá®ážááŸá¯ááŒá
áºáááºáá»á¬ážááœáẠá¡áááá·áºáá±ážá
á¬ááá¯ááºážááá·áºááœááºážáá«
ááœáá·áºááŒá®ážáááºááŸáá·áºá InTrust á
ááºážáá»ááºážáá»á¬ážááẠááá·áºá¡á¬áž áá¶ááááŒá
áºááœááºá¡ááŒá¯á¡áá°áá»á¬ážááŒáááá·áº ááááºá¡áááºáááááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážááᯠááŸá¬ááœá±ááá¯ááºá
á±áááºááŒá
áºáááºá á¥ááá¬á¡á¬ážááŒáá·áº ááœá²ááŒá¬ážááá¯ááºáááºá
áááºážááá¯ááºáá±á¬ááºáá»ááºááœááºážáááºááœááºá Dridex ááẠá¡áá»áááºááá¬ážááœá²áá¬ážáá±á¬á¡áá¯ááºáá
áºáá¯ááá¯áááºáá®ážááẠschtasks.exe ááá¯á¡áá¯á¶ážááŒá¯áááºá command line á០ဠáá®ážááŒá¬áž utility ááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááẠá¡ááœááºáá¶ááááŒá
áºááœáẠá¡ááŒá¯á¡áá°áᯠáá°ááá«áááºá á¡áá¯á¶ážááŒá¯áá° ááá¯ááºááœá²áá»á¬ážáá®ááá¯á· ááœáŸááºááŒááá·áº áá±á¬ááºáá»á¬áž ááá¯á·ááá¯áẠ"net view" ááá¯á·ááá¯áẠ"whoami" commands áá»á¬ážááŸáá·áº áááºáá°ááá·áº áá±á¬ááºáá»á¬ážááŒáá·áº svchost.exe ááᯠá
áááºááŒááºážááẠáááºáá°áááºá á€áááºááŸá¬ áááºááá¯ááºáᬠá¡ááá¯ááºážáá
áºááá¯ááºážááŒá
áºáááºá
detection:
selection1:
CommandLine: '*svchost.exe C:Users\*Desktop\*'
selection2:
ParentImage: '*svchost.exe*'
CommandLine:
- '*whoami.exe /all'
- '*net.exe view'
condition: 1 of them
InTrust ááœááºá áá¶ááááŒá áºááœááºá¡ááŒá¯á¡áá°á¡á¬ážáá¯á¶ážááᯠá ááºážáá»ááºážáá áºáá¯ááœáẠáá«áááºáááºá á¡ááŒá±á¬ááºážááŸá¬á á€áá¯ááºáá±á¬ááºáá»ááºá¡áá»á¬ážá á¯ááẠáá®ážááŒá¬ážááŒáááºážááŒá±á¬ááºááŸá¯áá áºáá¯ááá¯ááºáá±á¬áºáááºážá ááŸá¯ááºááœá±ážáá±á¬áá¶ááááŒá áºááœááºááŸáááŒá®áž 99% áá±á¬ááá á¹á áá»á¬ážááœáẠáá¯á¶ážáááœááºááŒááºáá±á¬áááºááœááºáá»ááºá¡ááœáẠá¡áá¯á¶ážááŒá¯ááŒááºážáááŸááá±á¬ááŒá±á¬áá·áºááŒá áºáááºá á€áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážá á¬áááºážááœáẠáá«áááºáá±á¬áºáááºážá á¡ááá·áºá¡áááºáááŸá-
- á¡áá¯á¶ážááŒá¯áá° áá¬áá®ááá¯ááºááœá²áá»á¬ážáá²á·ááá¯á·áá±á¬ áá¯á¶ááŸááºááá¯ááºáá±á¬ áá±áá¬áá»á¬ážá០áá¯ááºáá±á¬ááºáá±ááá·áº áá¯ááºáááºážá ááºáá»á¬ážá
- áá¶ááááŒá áºááœáẠá¡ááœá±áááºáá¶ááŸá¯ááŒáá·áº áá°áááá»á¬ážáá±á¬ á áá áºáá¯ááºáááºážá áẠ- á¡áá»áá¯á·áá±á¬ ááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážááẠá áá áºáá¯ááºáááºážá ááºáá»á¬ážá á¡áááºááᯠáá±á¬áºáá¯ááºááá¯ááºááŒááºážáááŸáá á±ááẠááŒáá¯ážáááºážááá¯ááºáá«áááºá
- áá±ááá¹ááá áá áºá¡áá±á¬ááºá¡áá¬ážáá»á¬áž ááá¯á·ááá¯áẠáá¶ááááŒá áºááœááºá¡ááœá±á¡ááŸá áºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá±á¬á¡áá«ááœáẠcmd ááá¯á·ááá¯áẠPsExec áá²á·ááá¯á·áá±á¬ á á®áá¶ááá·áºááœá²áá±ážáááááá¬áá»á¬ážááᯠáá¶ááááŒáá·áº ááœááºáá»ááºááŒááºážá
- áá¶ááááŒá
áºááœáẠá¡ááááºáááá¹áá°áá¯ááºáá±á¬ááºááŸá¯áá»á¬ážááẠá
áá
áºáá
áºáá¯ááᯠá
á¬ááŸááºááŒááºážáááŒá¯áá® ransomware ááá¯ááºážáááºá
áºáá»á¬ážá áá¯á¶á¡ááŒá¯á¡áá°áá
áºáá¯ááŒá
áºááŒá®áž áááºážááá¯á·ááẠá¡áááºááááºážáááºážááŸá¯áá»á¬ážááᯠáááºáá
áºáááº-
- vssadmin.exe ááŸáááá·áº;
- WMI ááŸáááá·áºá - registry hives áá áºáá¯áá¯á¶ážáá¡ááŸáá¯ááºáá»á¬ážááᯠá á¬áááºážááœááºážáá«á
- at.exe áá²á·ááá¯á·áá±á¬ command áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºáááºážá ááºáá áºáá¯ááᯠá¡áá±ážááŸá áááºáá±á¬á¡áá« á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºáá»á¬ážá á¡áá»á¬ážááá¯ááºááœá±á·áá»á¬ážááŸá¯á
- net.exe ááᯠá¡áá¯á¶ážááŒá¯á áá¶ááááŒá áºááœáẠáá±áááœááºáž á¡á¯ááºá ᯠáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááŸáá·áº ááá¯ááááºáž áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážá
- netsh.exe ááᯠá¡áá¯á¶ážááŒá¯á áá¶ááááŒá áºááœáẠfirewall áá¯ááºáá±á¬ááºáá»ááºá
- ACL á áá¶ááááŒá áºááœáẠááŒááºááŸááºááŸá¯á
- áá±áá¬áá¯ááºáá°ááŸá¯á¡ááœáẠBITS ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážá
- WMI ááŒáá·áº áá¶ááááŒá áºááœáẠááŒááºááŸááºááŸá¯áá»á¬ážá
- áá¶ááááŒá áºááœáẠáá¬ááºááœáŸááºážá¡áááá·áºáá»á¬ážá
- áá¯á¶ááŒá¯á¶áá±á¬ á áá áºááá¯ááºáá»á¬ážááᯠá áœáá·áºáá áºááẠááŒáá¯ážáááºážááŸá¯áá»á¬ážá
áá±á«ááºážá ááºá ááºážáá»ááºážááẠRUYKá LockerGoga ááŸáá·áº á¡ááŒá¬ážáá±á¬ ransomwareá malware ááŸáá·áº ááá¯ááºáá¬áá¬ááááºááŸá¯ááá¯ááºáᬠáááááá¬áááºáá¬ááá¬áá»á¬ážáá²á·ááá¯á·áá±á¬ ááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážááᯠááŸá¬ááœá±ááẠá¡ááœááºáá±á¬ááºážááœááºáá«áááºá ááŸá¬ážááœááºážáá±á¬ á¡ááŒá¯ááá±á¬áá»á¬ážááᯠáá»áŸá±á¬á·áá»ááẠáá¯ááºáá¯ááºááŸá¯áááºáááºážáá»ááºááœáẠáá±á¬ááºážáá»áá°á០á ááºážáá»ááºážááᯠá ááºážáááºáá¬ážáááºá SIGMA ááá±á¬áá»ááºááŒá±á¬áá·áºá á€á¡ááœáŸááºážááááºážá¡áá»á¬ážá á¯ááẠáá°áá¶áá¶ááŒá áºáááºáá»á¬ážááᯠá¡áááºážáááºáá»áŸáᬠáá¯ááºáá±ážáá«áááºá
áá¬ááŒá áºááá¯á·áá²ááá¯áá±á¬á· InTrust ááœáẠá€á¡áá¬ááẠá á±á¬áá·áºááŒáá·áºáá±ážá ááºážáá»ááºážáá áºáá¯ááŒá áºááŒá®ážá áááºááẠááŒáááºážááŒá±á¬ááºááŸá¯áá áºáá¯á¡á¬áž áá¯á¶á·ááŒááºááŸá¯á¡ááŒá Ạáá¯á¶á·ááŒááºááŸá¯ script áá áºáá¯ááᯠáá¯ááºáá±á¬ááºááá¯ááºáááºá áááºááá·áºááœááºážáá¬ážáá±á¬ scripts áá»á¬ážáá²á០áá áºáá¯ááᯠáá¯á¶ážááá¯ááºááẠááá¯á·ááá¯áẠááá·áºááá¯ááºááá¯áẠáááºáá®ážááŒá®áž InTrust ááẠáááºážááᯠá¡ááá¯á¡áá»á±á¬áẠááŒáá·áºáá±áááºááŒá áºáááºá
ááá¯á·á¡ááŒááºá áááºááẠááŒá
áºáááºááŸáá·áºáááºáááºááá·áº áááºáá®áá®áᬠá¡á¬ážáá¯á¶ážááᯠá
á
áºáá±ážááá¯ááºáááº- PowerShell scripts áá»á¬ážá áá¯ááºáááºážá
áẠexecution áá»á¬ážá á
á®á
ááºáá¬ážáá±á¬ áá¯ááºáá±á¬ááºá
áá¬áá»á¬ážááᯠááá¯ááºááœááºááŒá±ááŸááºážááŸá¯áá»á¬ážá WMI á
á®áá¶ááá·áºááœá²áá±áž áá¯ááºáá±á¬ááºáá»áẠááŸáá·áº áá¯á¶ááŒá¯á¶áá±áž ááŒá
áºá
ááºáá»á¬ážá¡ááœááºáž áááºážááá¯á·ááᯠá¡áá±áá¶áá±áá¹áá¬áá»á¬ážá¡ááœáẠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
InTrust ááœáẠáá¬ááŸáá·áºáá»á®áá±á¬ á¡ááŒá¬ážá
ááºážáá»ááºážáá»á¬áž ááŸáááŒá®ážá á¡áá»áá¯á·ááŸá¬-
- PowerShell á¡ááá·áºááŸááá·áºáá»ááá¯ááºááá¯ááºááŸá¯ááᯠáá áºá á¯á¶áá áºáá±á¬ááºá PowerShell áá¬ážááŸááºážá¡áá±á¬ááºážááᯠááááºááᬠááááºááᬠá¡áá¯á¶ážááŒá¯áá±áá±á¬á¡áá«ááœááº... áá¬ážááŸááºážá¡áá±á¬ááºážááœáẠááŒá áºáá»ááºáá±ááá·áºá¡áá¬ááᯠá á áºáá±ážááẠáááºážáááºážáááŸááá«á
- á¡áá°ážá¡ááœáá·áºáá°ážáá¶á¡ááœá²á·áá áºáá¯á á¡ááœá²á·áááºáá»á¬áž (ááá¯ááááºážá á®áá¶ááá·áºááœá²áá°áá»á¬ážáá²á·ááá¯á·) á¡áá±á¬áá·áºáá»á¬ážááẠááá±á¬áºáá ááá¯á·ááá¯áẠáá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠááŒá áºáááºáá»á¬ážááŒá±á¬áá·áº á¡áá¯ááºáá¯á¶áá»á¬ážááá¯á· áááºáá±á¬ááºááá·áºá¡áá«ááœáẠá¡áá°ážá¡ááœáá·áºá¡áá±ážááŒá®ážáá±á¬ áá±á¬á·ááºá¡ááºááᯠááááŸáááŒááºážááŒá áºáá«áááºá
InTrust ááẠááŒáá¯áááºáááºááŸááºáá¬ážáá±á¬ áá±á¬ááºááŸááºážááŸá¯ááŸáá·áº áá¯á¶á·ááŒááºááŸá¯á
ááºážáá»ááºážáá»á¬ážáá¯á¶á
á¶ááŒáá·áº á¡áá±á¬ááºážáá¯á¶ážáá¯á¶ááŒá¯á¶áá±ážá¡áá±á·á¡áá»áá·áºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááœáá·áºáá±ážáááºá áá
áºáá¯áᯠááœá²ááŒá¬ážá
áœá¬ á¡áá¯ááºáá¯ááºááá·áºáááºáᯠáááºáááºáá«áá áááºááẠá
ááºážáááºážáá»ááºá ááá¯ááºááá¯ááºáááá¹áá°ááᯠáááºáá®ážááŒá®áž ááá¯á¡ááºáááᯠááŒááºáááºáááºááŸááºááá¯ááºáááºá áá±áá¬ááºááŸá°ážáá¯ááºáá±á¬ááºááẠááá¯á·ááá¯áẠáá¬áá®ááá¯ááºá
ááºááŒáá·áº ááŒáá·áºááŒá°ážáá±ážáááááá¬áá»á¬áž ááá°áááºá¡ááœáẠáá»áŸá±á¬ááºááœáŸá¬áááºááá¯ááºáááºá
áá»áœááºá¯ááºááá¯á·áᶠá
á¬áááºážááœááºážáá«á
ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠáá»áœááºá¯ááºááá¯á·á á¡ááŒá¬ážáá±á¬ááºážáá«ážáá»á¬ážááᯠáááºááŸá¯áá«-
source: www.habr.com