Spectrum735

Всем доброго времени суток! Эта статья является мини-обзором по опенсорсному RAT на базе телеграмм бота. Статья не является каким-либо руководством к чему-либо противозаконному, разбор ниже приводится исключительно в ознакомительных целях. Ни автор софта, ни автор статьи не несет ответственности за возможный причиненный ущерб любого рода.

Github →

Использование телеграмм в качестве C&C не является чем-то новым, скорее всего просто удобным. Ничего делать особо не нужно, достаточно через батю ботов (BotFather) создать нового бота, взять его токен и вшить в зверька, как и приводится в оригинальном описании.



Ратник имеет достаточно большой функционал, где есть возможность подключаться к микрофону, к камере, также имеем функционал стиллера для сбора сохраненных паролей...

5 историй, которые легли в основу 370 страниц отчета. Материал можно рассматривать как библиотеку знаний об основных подходах, используемых азиатскими APT-группировками при взломе какой-либо инфраструктуры. Отчет также содержит подробную информацию о тактиках, техниках и процедурах (TTPs) злоумышленника, основанную на методологии MITRE ATT&CK.

Источник: "Лаборатория Касперского"

Ссылка на чтиво:

Вооружившись утилитой process hacker видим такую картину:



2 непонятных процесса, запущенные от svchost, с закосом под планировщик задач. А также отдельно audiodg, который к Runtime broker не относится. Переходим в расположение файла через свойство процесса и... окно проводника тут же закрывается. Что делать в таком случае? Выделяем все подозрительные процессы, вызываем контекстное меню -> suspend, таким образом временно приостанавливая их работу. Теперь можно снова открыть папку с вирусом, но она оказывается пустой:



Как же так? Отображение скрытый файлов включено. Дело в том, что вредонос присвоил себе системный...