Как стать автором
Обновить

Комментарии 3

Полезная нагрузка для использования техники DLL Search Order Hijacking (T1574.001) доставлялась на машины в формате jpg, что говорит нам об использовании техники Obfuscated Files or Information (T1027), именно поэтому хеш исполняемых файлов и библиотек на всех машинах отличаются, т.к. сборка производилась локально на машине

Хэш отличается поскольку сборка проводилась локально из исходников, полученных по каналу с использованием обфускации?

PS. А чем собирали? Исходники получены?

Мы не знаем, чем собирали (потому-что когда снимали дампы, за собой они уже всё подчистили). Мы наблюдали следующую последовательность : сначала на машину загружались jpg, потом на ней появлялась библиотека с вредоносной нагрузкой. Хеши у всех библиотек были разные. Процесс сборки библиотеки и что было в jpg установить не удалось.

Хэш можно изменить на коленке с помощью hex-редактора, ну либо open/read/seek/write. Подпись при этом поплывет, конечно, но работоспособность сохранится.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий