SpurveDør

SparrowDoor er den største trussel, der bruges af en nyopdaget APT -gruppe (Advanced Persistent Threat) sporet som FamousSparrow . Hackerne ser ud til at være målrettet mod hoteller over hele kloden med det formål at hæve data. Ved separate lejligheder har FamousSparrow også kompromitteret ingeniørvirksomheder, advokatfirmaer og offentlige organisationer.

Implementeringen af SparrowDoor

SparrowDoor -bagdøren leveres til offerets maskine via en læsser, der anvender DLL -kapring. Loader bruger tre elementer - en legitim K & Computing -eksekverbar fil (Indexer.exe), en beskadiget DLL -fil (K7UI.dll) og en krypteret shellcode (MpSvc.dll). Alle tre ligger i mappen %PROGRAMDATA %\ Software \.

For at fastslå vedholdenhed er SparrowDoor afhængig af en Registry Run -nøgle og en tjeneste, der er oprettet og lanceret ved hjælp af konfigurationsdataene, der er hardkodet til malwareens binære. Bagefter forsøger den at eskalere sine privilegier ved at justere adgangstokenet til sin proces. Det sidste trin omfatter at sende systemdata til Command-and-Control (C2, C&C) serveren og derefter vente på indgående kommandoer.

Truende funktionalitet

SparrowDoor genkender over 10 forskellige kommandoer. Det kan manipulere filsystemet på den kompromitterede maskine - oprette, omdøbe og slette filer. Det eksfiltrerer også forskellige data til serveren, herunder filoplysninger (filattributter, filstørrelse og filskrivetid) og indholdet af angivne filer. Malwaren kan afslutte nuværende processer og etablere en interaktiv reverse shell. Hvis hackerne skal maskere deres spor, kan de instruere SparrowDoor om at fjerne dens persistensmekanisme og slette dens filer.