SLOTHFULMEDIA

SLOTHFULMEDIA Kirjeldus

SlothfulMedia on pahavaratilkur, mille kohta koostas sisejulgeolekuministeeriumi (DHS) aruanne, ühendades küberturvalisuse ja infrastruktuuri turvalisuse agentuuri (CISA) ja küberriikide riikliku missiooni (CNMF) järeldused. Pahavaraoht on ette nähtud kahe täiendava faili viskamiseks rikutud süsteemi - kaugjuurdepääsu Trooja (RAT), teine fail vastutab RAT-i kustutamise eest pärast püsivuse saavutamist.

Peamise tilguti faili ülesandeks on alla laadida RAT-i koormus failina nimega 'mediaplayer.exe' ja asetada see kausta ' % AppData% \ Media \ '. Samale teele visatakse ka fail „media.lnk”. Seejärel jätkatakse faili allalaadimist kaustas % TEMP% , antakse sellele viiekohaline juhuslik nimi ja lisatakse see laiendiga .'exe. Tagamaks, et kasutajal oleks seda faili raskem märgata, luuakse see atribuudiga „peidetud”. Dropper-fail vastutab ka RAT-i püsimismehhanismi loomise eest. Selle saavutab ta 'TaskFrame' protsessi loomisega, mis käivitab RAT-i igal süsteemi käivitamisel. Side käskude ja juhtimise (C2, C&C) infrastruktuuriga saavutatakse HTTP ja HTTPS-päringute kaudu domeenile „www [.] Sdvro.net”.

RAT-i kasulik koormus ise on võimeline täielikult ohustatud arvuti üle kontrolli omandama. Andmete kogumise tegevust alustab see töölaua ekraanipildi tegemisega, nimetades sellele nimeks „Filter3.jpg” ja paigutades selle kohalikku kataloogi. Seejärel kogub see mitmesuguseid süsteemiandmeid, nagu arvuti ja kasutajanimi, operatsioonisüsteemi versioon, mälukasutus ja ühendatud loogilised kettad. Teave vormistatakse stringiks, seejärel räsitakse ja saadetakse C2-serveriga esialgse suhtluse osana. Kui kõik töötab tõrgeteta, ootab RAT seejärel nakatunud masinas konkreetse käsu täitmist. See võib manipuleerida failidega, käivitada ja peatada protsesse, loetleda avatud porte, draive, faile, katalooge ja teenuseid, teha ekraanipilte; registri muutmine muu ähvardava tegevuse kõrval.

Tilgutaja juhusliku nimega fail vastutab RAT-i tegevuse märgulampide kustutamise eest. See muudab registrit, tagamaks, et pahavara peamine käivitatav fail kustutatakse süsteemi järgmisel taaskäivitamisel. Registrivõti, mida ta kasutab, on:

'HKLM \ System \ CurrentControlSet \ Control \ SessionManager \ PendingFileRenameOperations

Andmed: \ ?? \ C: \ Users \ \ AppData \ Local \ Temp \ wHPEO.exe. "

Kasutaja Interneti-ajalugu pühitakse ka faili index.dat kustutamisega.