Семейство Sotdas, написанное на C++, активно уже много лет и характеризуется наличием строк 'g_nIsStopDDOS', 'DOSSTAT' или '# chkconfi g: 2345 77 37'. Вредоносная программа потенциально может использоваться для сбора информации о скомпрометированной системе, работать в фоновом режиме незамеченной и выполнять вредоносные действия. Эти методы включают установку процесса-демона, создание сценария запуска, мониторинг системных ресурсов и сбор языковой информации.
Вредоносная программа Sotdas обладает рядом возможностей, которые делают ее значительной угрозой в киберпространстве.
- Устойчивость: Вредоносная программа может сохраняться на взломанных системах путем создания записей запуска и копирования себя в системные каталоги.
- Сбор информации: Sotdas может собирать ценную информацию о системе, такую как данные о процессоре и памяти, информация о сетевом интерфейсе и загрузке процессора.
- Уклонение от защиты: Sotdas демонстрирует передовые методы обхода защиты, устанавливая процесс-демон, используя /proc для определения абсолютного пути к исполняемому файлу и используя конфигурацию уровня выполнения системы V.
- DNS-туннелирование: Sotdas использует DNS-туннелирование для связи со своим командно-контрольным сервером (C&C), используя пользовательские сообщения DNS-запросов и кодируя полезную нагрузку в DNS-записи.
Indicators of Compromise
Domains
- sockt.best
MD5
- 31d5a627bcc63682c43e6e8c785c4d57
SHA1
- 019baa5eeec142d143fce17694c47bc40ce3122d
SHA256
- f7a8eb6dda1d15bead43d94df0bcfdd2a7dccab0eb06c89e5e85034561f60563