Comments 8
До сих пор так делают? ставят .pdf в название exe файла?
Как видите, бывает и такое 🙂
Примеры кибератак с использованием двойного расширения можете также посмотреть в матрице MITRE ATT&CK, а еще в отчете коллег.
"В коде мы заметили известные приемы обхода средств защиты " почему нельзя задокументировать приемы обхода средств защиты по аналогии с матрицей техник MITRE ATT&CK чтобы средства защиты гарантированно на эти приемы реагировали, приемов же ведь не бесконечное количество? или бесконечное количество реализаций этих приёмов и поэтому хоть эти приемы и известны, но из-за новой реализации они не детектятся с помощью СЗИ?
В статье обсуждается поведенческий анализ. Перечисленные техники, кроме многократного вызова RegCloseKey, затрудняют статический анализ. Для их обнаружения подойдет, например, сигнатурный детект, а это совсем другая история)
Многократный вызов RegCloseKey может создать проблемы для динамического анализа файлов в отладчике или с помощью apimon-а. Для решений класса EDR это не проблема.
sha1, надеюсь, есть у этого файла?
Привет! Конечно
SHA1: fbd3075398f609f67f409c8c869853703c83953f
https://www.virustotal.com/gui/file/fcafcfd32332f92ac7735324411d671a7e49da7159c24c15e34603e7638429aa
А почему он 200 рублей стоит, не увидел?)
Привет! О его низкой стоимости упоминалось во многих статьях, например, в самом начале есть ссылка на материал на SecurityLab.
Тот самый RAT-троян за 200 рублей: как защититься от RADX