naumovax Feb 16 at 12:33

Троян SafeRAT: так ли он безопасен?

Medium

8 min

Positive Technologies corporate blogInformation Security*Antivirus protection*Network technologies*Reverse engineering*

Case

+16

Comments 6

ajaxtpm Feb 16 at 13:14

Спасибо за статью. Кибершеф крутой у вас получился!

naumovax Feb 16 at 13:37

спасиб:) кибершеф ван лав❤️‍?

jackcrane Feb 21 at 20:30

Загрузчик распространяется по почте в письмах с расширением .bat

что если запретить пользователю запускать файлы .bat (на самом деле создавать процессы cmd.exe и command.com) ?

naumovax Feb 22 at 06:42

Как один из вариантов защиты подойдет. Можно и в почте настроить ограничения на определенные расширения.

ojsmpsn Mar 13 at 08:58

Спасибо за реверс, Антон. Есть вопрос, вся эта схема с шелкодом и выявленная тобой структура пакета, не напоминает ли запуск Gh0stRAT? Модуль интересный, мьютекс у него так и есть SafeRat?

naumovax Mar 14 at 12:10

В заключении как раз об этом написали: "SafeRAT — это очередная поделка, основанная на утекших исходниках Gh0st, только с урезанной функциональностью". Про событие также указали в разделе Основной модуль Online со скриншотом: "создается событие Global\safeRat — именно по нему мы и дали впоследствии название вредоносу".