Azov Ransomware IOCs

ransomware IOC

Azov впервые привлек внимание сообщества информационной безопасности как полезная нагрузка ботнета SmokeLoader, который часто встречается на сайтах с поддельным пиратским ПО и кряками.


Отличительной чертой Azov от обычных программ-вымогателей является модификация некоторых 64-битных исполняемых файлов для выполнения собственного кода. Модификация исполняемых файлов осуществляется с помощью полиморфного кода, чтобы не быть потенциально блокированной статическими сигнатурами, а также применяется к 64-битным исполняемым файлам, о чем обычный автор вредоносного ПО не стал бы беспокоиться.
Технический анализ: Основные моменты:

  • Создан вручную на ассемблере с использованием FASM
  • Использование методов анти-анализа и обфускации кода
  • Многопоточная периодическая перезапись (зацикливание 666 байт) содержимого исходных данных
  • Полиморфный способ распространения 64-битных файлов ".exe" по всей скомпрометированной системе "логическая бомба", настроенная на взрыв в определенное время.
  • Отсутствие сетевой активности и утечки данных
  • Использование ботнета SmokeLoader и троянских программ для распространения
  • Эффективный, быстрый и, к сожалению, невосстановимый уничтожитель данных

Indicators of Compromise

SHA256

  • 650f0d694c0928d88aeeed649cf629fc8a7bec604563bca716b1688227e0cc7e
  • b102ed1018de0b7faea37ca86f27ba3025c0c70f28417ac3e9ef09d32617f801
SEC-1275-1
Добавить комментарий