DanDrop

DanDrop Kirjeldus

DanDrop on küberturvalisuse poolt loodud pahavara tilgutamise tööriist, mis on osa arenenud püsiva ohu (APT) rühma arsenalist nimega Lütseum või Hexane. DanDrop tarnitakse Lütseumi rünnakuahela esimeses etapis ja vastutab häkkerite peamise pahavaratööriista - kaugjuurdepääsutrooja nimega DanBot - koopia loomise eest .

DanDropi sihitud arvutisse viimiseks on see VBA makrona manustatud Microsoft Office'i dokumentidesse. Tilgutit kandvad dokumendid on kujundatud nii, et need oleksid võimalikult ahvatlevad selliste nimedega nagu "2017. aasta halvimad paroolid" ja "Kümme parimat turvapraktikat". Samuti on avastatud täielikult araabia keeles kirjutatud dokumendid.

Pahavara ise koosneb mitmest VBA funktsioonist. Põhifunktsioon käivitatakse, kui sihitud kasutaja avab rikutud MS-dokumendi ja on programmeeritud ohustatud süsteemis tegema paljusid toiminguid. Esiteks määrab see dokumendiga teatud lehtede nähtavuse, misjärel luuakse kataloogi MyDocuments kataloogi Users \ Public \ PublicPics. Järgmine samm on dokumendi Base64 kodeeritud andmete dekrüpteerimine ja salvestamine kahe muutuja nimega ert ja cnf. Seejärel kirjutatakse muutujad kahte faili - ATrce.e ja ATrce.ex, misjärel failidele antakse uued nimed ATrce.exe ja ATrce.exe.config. Lõpuks kutsub see funktsiooni SdT, mis võib käivitada langenud DanBoti kasuliku koormuse hiljem.