SparrowDoor

SparrowDoor е основната заплаха, използвана от новооткритата група APT (Advanced Persistent Threat), проследена като FamousSparrow . Хакерите изглежда са насочени към хотели по целия свят с намерението да извличат данни. В отделни случаи FamousSparrow също компрометира инженерни компании, адвокатски кантори и правителствени организации.

Разполагането на SparrowDoor

Задната врата на SparrowDoor се доставя до машината на жертвата чрез товарач, използващ DLL отвличане. Зареждащият използва три елемента - легитимен изпълним файл на K & Computing (Indexer.exe), повреден DLL файл (K7UI.dll) и криптиран чек -код (MpSvc.dll). И трите са пуснати в папката %PROGRAMDATA %\ Software \.

За да установи постоянство, SparrowDoor разчита на ключ за стартиране на системния регистър и услуга, създадена и стартирана с помощта на конфигурационните данни, кодирани в двоичния файл на зловредния софтуер. След това той се опитва да ескалира своите привилегии, като коригира символа за достъп на своя процес. Последната стъпка включва изпращане на системни данни до сървъра за управление и управление (C2, C&C) и след това изчакване на входящи команди.

Заплашваща функционалност

SparrowDoor разпознава над 10 различни команди. Той може да манипулира файловата система на компрометираната машина - създаване, преименуване и изтриване на файлове. Той също така ексфилтрира различни данни към сървъра, включително информация за файла (атрибути на файла, размер на файла и време за запис на файла) и съдържанието на определени файлове. Зловредният софтуер може да прекрати текущите процеси и да създаде интерактивна обратна обвивка. Ако хакерите трябва да маскират следите си, те могат да инструктират SparrowDoor да премахне механизма му на устойчивост и да изтрие файловете му.