Sotdas Malware IOCs

malware IOC

Семейство Sotdas, написанное на C++, активно уже много лет и характеризуется наличием строк 'g_nIsStopDDOS', 'DOSSTAT' или '# chkconfi g: 2345 77 37'. Вредоносная программа потенциально может использоваться для сбора информации о скомпрометированной системе, работать в фоновом режиме незамеченной и выполнять вредоносные действия. Эти методы включают установку процесса-демона, создание сценария запуска, мониторинг системных ресурсов и сбор языковой информации.

Вредоносная программа Sotdas обладает рядом возможностей, которые делают ее значительной угрозой в киберпространстве.

  • Устойчивость: Вредоносная программа может сохраняться на взломанных системах путем создания записей запуска и копирования себя в системные каталоги.
  • Сбор информации: Sotdas может собирать ценную информацию о системе, такую как данные о процессоре и памяти, информация о сетевом интерфейсе и загрузке процессора.
  • Уклонение от защиты: Sotdas демонстрирует передовые методы обхода защиты, устанавливая процесс-демон, используя /proc для определения абсолютного пути к исполняемому файлу и используя конфигурацию уровня выполнения системы V.
  • DNS-туннелирование: Sotdas использует DNS-туннелирование для связи со своим командно-контрольным сервером (C&C), используя пользовательские сообщения DNS-запросов и кодируя полезную нагрузку в DNS-записи.

Indicators of Compromise

Domains

  • sockt.best

MD5

  • 31d5a627bcc63682c43e6e8c785c4d57

SHA1

  • 019baa5eeec142d143fce17694c47bc40ce3122d

SHA256

  • f7a8eb6dda1d15bead43d94df0bcfdd2a7dccab0eb06c89e5e85034561f60563
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий