ВоробейДверь

SparrowDoor - основная угроза, используемая недавно обнаруженной группой APT (Advanced Persistent Threat), отслеживаемой как FamousSparrow . Похоже, что хакеры нацелены на отели по всему миру с целью перекачки данных. В отдельных случаях FamousSparrow также скомпрометировал инженерные компании, юридические фирмы и правительственные организации.

Развертывание SparrowDoor

Бэкдор SparrowDoor доставляется на машину жертвы через загрузчик, использующий захват DLL. Загрузчик использует три элемента: законный исполняемый файл K & Computing (Indexer.exe), поврежденный файл DLL (K7UI.dll) и зашифрованный шелл-код (MpSvc.dll). Все три сброшены в папку% PROGRAMDATA% \ Software \.

Для обеспечения устойчивости SparrowDoor использует ключ Registry Run, а также службу, созданную и запускаемую с использованием данных конфигурации, жестко закодированных в двоичном коде вредоносной программы. После этого он пытается повысить свои привилегии, изменяя токен доступа своего процесса. Последний шаг включает отправку системных данных на сервер Command-and-Control (C2, C&C) и затем ожидание входящих команд.

Угрожающая функциональность

SparrowDoor распознает более 10 различных команд. Он может манипулировать файловой системой на взломанной машине - создавать, переименовывать и удалять файлы. Он также может передавать на сервер различные данные, включая информацию о файле (атрибуты файла, размер файла и время записи файла) и содержимое указанных файлов. Вредоносная программа может завершать текущие процессы и устанавливать интерактивную обратную оболочку. Если хакерам нужно замаскировать свои следы, они могут проинструктировать SparrowDoor удалить его механизм сохранения и удалить его файлы.