Комментарии 3
Полезная нагрузка для использования техники DLL Search Order Hijacking (T1574.001) доставлялась на машины в формате jpg, что говорит нам об использовании техники Obfuscated Files or Information (T1027), именно поэтому хеш исполняемых файлов и библиотек на всех машинах отличаются, т.к. сборка производилась локально на машине
Хэш отличается поскольку сборка проводилась локально из исходников, полученных по каналу с использованием обфускации?
PS. А чем собирали? Исходники получены?
Мы не знаем, чем собирали (потому-что когда снимали дампы, за собой они уже всё подчистили). Мы наблюдали следующую последовательность : сначала на машину загружались jpg, потом на ней появлялась библиотека с вредоносной нагрузкой. Хеши у всех библиотек были разные. Процесс сборки библиотеки и что было в jpg установить не удалось.
Обзор обнаруженных техник и тактик группировки Winnti. Часть 2