Хотел-бы сделать перевод, а-то тут меня обвиняют все в копипасте, а потом напала на меня лень !
В принципе семпл можете сами найти кому нужно, вот подробный ресерч что и как:Teaching an old RAT new tricks
Для простолюдинов-же, по рабоче-крестьянски, но копипаст...:(
Хакерские группы ряда азиатских стран уже активно используют новую технику атак, и исследователи отмечают, что данный метод может вскоре может начать применяться не только в азиатских странах и не только для NanoCore.
Техника гарантирует, что вредоносный пейлоуд останется исключительно в памяти устройства, ни разу не коснувшись жесткого диска жертвы в незашифрованном виде.
Впервые проникнув на компьютер жертвы, вредонос создает два файла: %APPDATA%\Microsoft\Blend\14.0\FeedCache\nvSCPAPISrv.exe и PerfWatson.exe по тому же адресу, а затем запускает их.
![Picture11.png](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp-content%2Fuploads%2F2016%2F04%2FPicture11.png&hash=263490df2ef025ba49c3a48a0f236b56)
В реестре появляется HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load, указывающий на файл PerfWatson.exe.
![Picture31.png](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp-content%2Fuploads%2F2016%2F04%2FPicture31.png&hash=3a582c4dfd2c603dc20a767dc4caab55)
Затем NanoCore пытается выйти на связь с управляющим сервером, а также распаковывает защищенный XOR-шифрованием .DLL-файл, который как раз ответственен за распаковку и инъекцию самого RAT в память компьютера. Настройки данного .DLL и исполняемых файлов NanoCore хранятся в зашифрованном виде внутри нескольких .PNG-изображений, куда записаны с использованием стеганографии.
![Picture111.png](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp-content%2Fuploads%2F2016%2F04%2FPicture111.png&hash=9b02582f2e96b052c31954fa20fb3f0d)
Когда все компоненты расшифрованы, пейлоуд NanoCore внедряется в новый процесс, используя Win32 API. Разумеется, на жестком диске пользователя всё же останутся какие-то следы, но антивирусные решения не определят их как вредоносные. Подобную атаку вообще крайне трудно отследить, так как пейлоуд скрывается в памяти.