Redosdru - это зашифрованная полезная нагрузка DLL, представляющая собой угрозу безопасности и обнаруженная вредоносной программой.
Описание
Проанализировав двоичный файл "wshom.exe" в каталоге C:\Windows\System32, Huntress идентифицировали его как упакованный UPX. После деобфускации получили необработанный PE файл. Обнаружили функцию, которая загружает файл через интернет и выполняет его. Используя Sysinternal's Process Explorer, установили, что дроппер извлекает "NetSyst88.dll" из удаленного сервера и помещает его в системную директорию.
NetSyst88.dll не содержит стандартных заголовков, что может указывать на применение шифрования или обфускации для обхода систем безопасности. Исследование показало, что DLL связана с семейством вредоносных программ Redosdru.
Применение инструментов, таких как шестнадцатеричный редактор, помогло в изучении зашифрованной DLL и определении ее функционала:
- Запись нажатий клавиш
- управление пользователями и группами
- Завершение программ
- Сбор данных буфера обмена
Индикаторы компрометации
URLs
- http://xiqiao2.f3322.org
SHA256
- 3394755e45b6cba8fd63160512a847533de89cd88bd8eec3251623e85f67e987
- 3edfe93173f368fe5a29e0905fb17996584d4380b48e05b84fe56cc9aac090d1
- e62d433e662bff743e8d0fc554c2308db6c72fa500e64091d76e127445f337e1