Как стать автором
Обновить

Комментарии 13

"Собственную C&C структуру" - это, простите, что за структура такая? А что такое "память диска"?

Гуртовщики мышей какие-то, в самом деле...

the malware uses a resilient domain generation algorithm (DGA) to identify its command-and-control (C2) infrastructure

Кривой перевод:

Собственную C&C структуру программа определяет с помощью устойчивого алгоритма генерации доменов (DGA)

Естественно кривой! Разница между "структурой" и "инфраструктурой" велика, особенно в этом контексте!

Чем они выполняют этот JS? Разве ScriptHost или как там его жив ещё?

И wscript и mshta живее всех живых. И активно используются...

Как-то раз я попробовал выпилить из семерки mshta.exe — получил ошибки в Outlook 2013. Оказалось, страница состояния ящика, по умолчанию открывающаяся при переходе в корневую папку, отображается через него. А легаси дырявое-е...

Ну как "дырявое"... Оно просто позволяет запускать JS/VBS скрипты. У скриптов просто есть доступ к некоторым ресурсам системы, которые позволяют использовать их для создания вредоносного ПО. Не то чтобы я следил за уязвимостями в скриптовом движке винды, но что-то я не помню там именно дыр...

mshta ЕМНИП имел уязвимость типа RCE будучи урезанным браузером, вроде как один из старых вредоносов, распространявшихся как *.hta по почте, умел ещё и EOP через него до системы со всеми вытекающими. wscript это движок вин-скриптов, технически в нем тоже может попасться RCE, EOP или sandbox escape, ну и фсё. К сожалению, тот же офис использует wscript как минимум для проверки лицензий, а значит, если установлен, придется терпеть и закладываться на риски левых задач с его использованием.
В принципе, wscript именно что предназначен для выполнения кода, но локального, и по-хорошему сам удаленный вызов wscript должен быть либо запрещен, либо хорошо прикрыт аудитом или ещё чем, посему RCE в нем это фича. А вот EOP — уже нет.

Журналиста опять изнасиловали, никакой он не бесфайловый, обычный js запускается через планировщик.

Как может зловред не сохранять свой код на диск, если переживает выключение компьютера? :/

Хороший вопрос. Из приведенной статьи возникает ощущение, что это разовый скрипт, который будучи запущенным берет дополнительный код и команды с управляющих серверов и что-то нужное для себя параллельно хранит в реестре вместо физических конфигов и инструментов. Ну ок, пересобраться еще может пока система не перезагружена и в памяти висит. Дальше-то с помощью каких команд он не имея файла пропишется в автозагрузку? Инструменты выполнения скриптов ОС имеют свои автозагрузочные команды в которых вредонос начинает все сначала (обращается к своим серверам, собирается и запускается)?

Once launched, DarkWatchmen will execute a PowerShell script that compiles the keylogger using the .NET CSC.exe command and launches it into memory.

"The keylogger is distributed as obfuscated C# source code that is processed and stored in the registry as a Base64-encoded PowerShell command. When the RAT is launched, it executes this PowerShell script which, in turn, compiles the keylogger (using CSC) and executes it," Prevailion researchers Matt Stafford and Sherman Smith explained in their report.

"The keylogger itself does not communicate with the C2 or write to disk. Instead, it writes its keylog to a registry key that it uses as a buffer. During its operation, the RAT scrapes and clears this buffer before transmitting the logged keystrokes to the C2 server."

Как технология интересно, конечно. Но, как отмечено в комментарии выше, какой-то код всё же должен храниться в энергонезависимой памяти.

C#-кейлоггер… едва дотягивает до 8.5Кб

Интересно, какую версию .Net для работы требует?..
Зарегистрируйтесь на Хабре, чтобы оставить комментарий