Лицензи за множество устройства (Отстъпки за количество)

Промяна на региона

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Remote Administration Tools MysterySnail Плъх

MysterySnail Плъх

До CagedTech през Remote Administration Toolsг
Превод на:
български език

Плъхът MysterySnail е заплаха, която според констатациите, направени от изследователи на infosec, е свързана с китайската група APT (Advanced Persistent Threat) IronHusky. Заплахата е описана като отдалечен троянец от черупка и е необичайно голям на 8.29MB. Има няколко причини за необичайния размер. Първо, MysterySnail RAT се компилира статично с библиотеката OpenSSL и има неизползван код от тази библиотека. Второ, той съдържа две големи функции, които нямат практическа цел, освен да губят тактовите честоти на процесора.

Вероятната причина за включването на големите парчета излишен код е да се засилят възможностите за откриване и анти-емулация на заплахата. Това заключение се подкрепя и от включването на различни излишни логики, както и множество експортирани функции, докато само една изпълнява действителните задачи.

Подробности за MysterySnail RAT

Като цяло плъхът MysterySnail не е сред най -сложните заплахи от този тип.Въпреки това, той компенсира с разширен списък от функционалности (заплахата може да разпознае общо 20 различни команди), като например откриване на вмъкнати дискови устройства или възможност за действие като прокси. След получаване на съответната команда от сървъра си за управление и управление (C&C, C2), заплахата е способна да манипулира файловата система на компрометираната система, като създава, чете, качва или изтрива избраните файлове. MysterySnail RAT също може да стартира или прекратява процеси. В допълнение, той може да отвори прозорец на командния ред, който позволява на нападателите да изпълняват произволни команди.

Едно от първите действия, извършени от MysterySnail RAT, е събирането на данни за нарушената система. Зловредният софтуер събира подробности, като например името на компютъра, името на продукта на Windows, IP адреса, потребителското име и др. След това цялата събрана информация се качва на C2 сървъра. Що се отнася до адреса на сървъра, анализираните проби от заплахи имаха два твърдо кодирани URL адреса, съхранявани в обикновен текст, които действаха като примамки. Истинският URL се декодира от еднобайтов xor, който доставя адреса „http [.] Ddspadus [.] Com“.

Тенденция

Най-гледан

Зареждане...