Главная страница » IOC
0
3 месяца
IOC

FK_Undead Loader IOCs

security

В центре внимания недавнего анализа стала обнаруженная загрузчиком руткита для операционной системы Windows. Этот загрузчик относится к семейству вредоносных программ FK_Undead, которое известно своей способностью перехватывать сетевой трафик пользователей с помощью манипуляций конфигурации прокси-серверов. Интересно отметить, что загрузчик руткита имеет сертификат Microsoft Windows Hardware Compatibility Publisher и совместим с различными версиями Windows и защищен с помощью VMProtect.

FK_Undead Loader

Процесс установки этого руткита начинается с установки его в качестве системной службы. Загрузчик руткита представлен как исполняемый файл, маскирующийся под «Microsoft Foundation Applications» и устанавливающийся в файл «C:\Windows\System32\drivers\ws3ifsl.sys» и регистрируется как служба под названием «ws3ifsl». Затем он перемещается в новое местоположение и регистрируется как системная служба под названием «EventStore», скрываясь от пользователей.

Чтобы проанализировать функции этого загрузчика руткита, использовался эмулятор speakeasy, которые предоставляет возможность перехватить обращения к памяти и извлечь строки, защищенные VMProtect. При анализе были обнаружены четыре URL-адреса, указывающих на HTTP-ссылку с необычным портом 38005, на которых в прошлом размещались файлы, содержащие блобы в base64-кодировке. Эти файлы являются deaddrop'ами, которые содержат случайные байты и HTTP-URL. Дальнейший анализ показал наличие зашифрованной полезной нагрузки второго этапа.

Драйвер руткита использует различные deaddrop и полезную нагрузку FK_Undead в зависимости от версии Windows. Он ориентируется на номер версии Windows и загружает соответствующие deaddrop и полезную нагрузку. После успешной загрузки он расшифровывает и сохраняет полезную нагрузку в папке программных данных Windows.

Indicators of Compromise

URLs

  • http://101.37.76.254:31005/txlsddlx64.dat
  • http://101.37.76.254:31005/txlsddlx64_7.dat
  • http://microsoftdns2.com:27688/html/jpg/U[yyyyMMddHHmmssfff].dat
  • http://microsoftdns2.com:27688/html/png/V[yyyyMMddHHmmssfff].dat
  • http://tjxgood.com:38005/auth.bin
  • http://tjxgood.com:38005/auth7.bin
  • http://tjxupdates.com:38005/auth.bin
  • http://tjxupdates.com:38005/auth7.bin

SHA256

  • 046442a7e16166225a0c070bf8d311caddc48cbe61a4b82d462d8dd4501cfd00
  • 10d8591dd18e061febabe0384dc64e5516b7e7e54be87ca0ac35e11f698b0cc2
  • 1f5dcc5b0916a77087f160130d5eadb26fe8ee9d47177d19944773d562c03e8e
  • 33a305cf2ff910c833e3c8efd77e9f55fc1344215f75a4c8feda6fd5d8e98628
  • 6af4343fd0ce9b27a2862f75d409d4021efc3160c40a5bda174b2ad30086722d
  • 708f4f45f7515d2b94de5772ee883cfd579dbff216e8a8db3181d2cf0e2a2770
  • adf0bed4734b416c0c958e096593e93726ba9eb2b39c88645e02033755e16a1b
  • ca8061f5ee59cba8f8f4e036eddc5f470e0936ebec470a0ebd4e84ab0475ece2
Комментарии: 0
Похожие записи
0
3 дня
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
9 дней
IOC

Поддельная reCAPTCHA от LummaStealer

Spyware
В последнем месяце 2025 года была выявлена вредоносная кампания, осуществляемая через атаку на сайты бронирования. Злоумышленники используют поддельные страницы бронирования, чтобы на доверчивых путешественников
0
24 дня
IOC

Buer Loader IOCs

security
Buer (BuerLoader) - это загрузчик, продаваемый на подпольных форумах и используемый злоумышленниками для доставки вредоносных программ с полезной нагрузкой на целевые машины.
0
1 месяц
IOC

Sandworm APT нацеливает на украинских пользователей троянские средства активации Microsoft KMS в рамках кампаний по кибершпионажу

security
Аналитики EclecticIQ утверждают, что Sandworm (APT44) активно осуществляет кампанию кибершпионажа против украинских пользователей Windows. Используя пиратские активаторы Microsoft Key Management Service