sha1:
- bb64ea9dd561db41253814587f22985f51f9ad17
Описание
Является первой стадией трояна, который выполняет сразу несколько функций: стилер, клиппер, бэкдор, майнер и источник заражения файлов:
- первая стадия — Trojan.DownLoader49.35384,
- вторая — Trojan.DownLoader49.35687,
- третья — BackDoor.Siggen2.5906,
- четвертая — Trojan.Packed2.50953, загрузчик пятой стадии Trojan.BtcMine.3956.
Эта стадия является началом всей цепочки заражения.
Принцип действия
В сети можно обнаружить различные легитимные приложения с похожей структурой. В изначальный исполняемый файл добавлен глобальный объект, а выполнение троянизированного приложения начинается с получения доступа к системным API через метод PEB walking. Далее стандартная функция initterm проходит таблицу указателей функций и инициализирует их, где одна из таких функций является вредоносной и запускает PowerShell команду. Она скачивает и выполняет следующую стадию — вредоносный файл Trojan.DownLoader49.35687. В некоторых версиях трояна эта нагрузка хранится в зашифрованном виде.
Матрица MITRE
| Этап | Тактика |
|---|---|
| Выполнение |
Интерпретаторы командной строки и сценариев (T1059) PowerShell (T1059.001) Выполнение с участием пользователя (T1204) |
| Предотвращение обнаружения |
Обфусцированные файлы или данные (T1027) Маскировка (T1036) |
| Организация управления | Протокол прикладного уровня (T1071) |
Подробнее об Trojan.DownLoader49.35687
Подробнее об BackDoor.Siggen2.5906
Подробнее об Trojan.BtcMine.3956
Индикаторы компрометации
Новость о трояне