Comments 13
"Собственную C&C структуру" - это, простите, что за структура такая? А что такое "память диска"?
Гуртовщики мышей какие-то, в самом деле...
Чем они выполняют этот JS? Разве ScriptHost или как там его жив ещё?
И wscript и mshta живее всех живых. И активно используются...
Как-то раз я попробовал выпилить из семерки mshta.exe — получил ошибки в Outlook 2013. Оказалось, страница состояния ящика, по умолчанию открывающаяся при переходе в корневую папку, отображается через него. А легаси дырявое-е...
Ну как "дырявое"... Оно просто позволяет запускать JS/VBS скрипты. У скриптов просто есть доступ к некоторым ресурсам системы, которые позволяют использовать их для создания вредоносного ПО. Не то чтобы я следил за уязвимостями в скриптовом движке винды, но что-то я не помню там именно дыр...
mshta ЕМНИП имел уязвимость типа RCE будучи урезанным браузером, вроде как один из старых вредоносов, распространявшихся как *.hta по почте, умел ещё и EOP через него до системы со всеми вытекающими. wscript это движок вин-скриптов, технически в нем тоже может попасться RCE, EOP или sandbox escape, ну и фсё. К сожалению, тот же офис использует wscript как минимум для проверки лицензий, а значит, если установлен, придется терпеть и закладываться на риски левых задач с его использованием.
В принципе, wscript именно что предназначен для выполнения кода, но локального, и по-хорошему сам удаленный вызов wscript должен быть либо запрещен, либо хорошо прикрыт аудитом или ещё чем, посему RCE в нем это фича. А вот EOP — уже нет.
Как может зловред не сохранять свой код на диск, если переживает выключение компьютера? :/
Хороший вопрос. Из приведенной статьи возникает ощущение, что это разовый скрипт, который будучи запущенным берет дополнительный код и команды с управляющих серверов и что-то нужное для себя параллельно хранит в реестре вместо физических конфигов и инструментов. Ну ок, пересобраться еще может пока система не перезагружена и в памяти висит. Дальше-то с помощью каких команд он не имея файла пропишется в автозагрузку? Инструменты выполнения скриптов ОС имеют свои автозагрузочные команды в которых вредонос начинает все сначала (обращается к своим серверам, собирается и запускается)?
Once launched, DarkWatchmen will execute a PowerShell script that compiles the keylogger using the .NET CSC.exe command and launches it into memory.
"The keylogger is distributed as obfuscated C# source code that is processed and stored in the registry as a Base64-encoded PowerShell command. When the RAT is launched, it executes this PowerShell script which, in turn, compiles the keylogger (using CSC) and executes it," Prevailion researchers Matt Stafford and Sherman Smith explained in their report.
"The keylogger itself does not communicate with the C2 or write to disk. Instead, it writes its keylog to a registry key that it uses as a buffer. During its operation, the RAT scrapes and clears this buffer before transmitting the logged keystrokes to the C2 server."
C#-кейлоггер… едва дотягивает до 8.5Кб
Интересно, какую версию .Net для работы требует?..
Новый бесфайловый вредонос скрывается в реестре Windows