IZ_SOC 24 авг 2021 в 10:04

Обзор обнаруженных техник и тактик группировки Winnti. Часть 2

11 мин

4.1K

Блог компании ГК ЛАНИТИнформационная безопасность*Реверс-инжиниринг*

+34

Комментарии 3

grub-itler 24 авг 2021 в 10:40

Полезная нагрузка для использования техники DLL Search Order Hijacking (T1574.001) доставлялась на машины в формате jpg, что говорит нам об использовании техники Obfuscated Files or Information (T1027), именно поэтому хеш исполняемых файлов и библиотек на всех машинах отличаются, т.к. сборка производилась локально на машине

Хэш отличается поскольку сборка проводилась локально из исходников, полученных по каналу с использованием обфускации?

PS. А чем собирали? Исходники получены?

IZ_SOC 24 авг 2021 в 13:17

Мы не знаем, чем собирали (потому-что когда снимали дампы, за собой они уже всё подчистили). Мы наблюдали следующую последовательность : сначала на машину загружались jpg, потом на ней появлялась библиотека с вредоносной нагрузкой. Хеши у всех библиотек были разные. Процесс сборки библиотеки и что было в jpg установить не удалось.

grub-itler 27 авг 2021 в 10:04

Хэш можно изменить на коленке с помощью hex-редактора, ну либо open/read/seek/write. Подпись при этом поплывет, конечно, но работоспособность сохранится.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий