Redosdru - шифрование полезной нагрузки DLL для избежания появления сигнатур на диске

security

Redosdru - это зашифрованная полезная нагрузка DLL, представляющая собой угрозу безопасности и обнаруженная вредоносной программой.

Описание

Проанализировав двоичный файл "wshom.exe" в каталоге C:\Windows\System32, Huntress идентифицировали его как упакованный UPX. После деобфускации получили необработанный PE файл. Обнаружили функцию, которая загружает файл через интернет и выполняет его. Используя Sysinternal's Process Explorer, установили, что дроппер извлекает "NetSyst88.dll" из удаленного сервера и помещает его в системную директорию.

NetSyst88.dll не содержит стандартных заголовков, что может указывать на применение шифрования или обфускации для обхода систем безопасности. Исследование показало, что DLL связана с семейством вредоносных программ Redosdru.

Применение инструментов, таких как шестнадцатеричный редактор, помогло в изучении зашифрованной DLL и определении ее функционала:

  • Запись нажатий клавиш
  • управление пользователями и группами
  • Завершение программ
  • Сбор данных буфера обмена

Индикаторы компрометации

URLs

  • http://xiqiao2.f3322.org

SHA256

  • 3394755e45b6cba8fd63160512a847533de89cd88bd8eec3251623e85f67e987
  • 3edfe93173f368fe5a29e0905fb17996584d4380b48e05b84fe56cc9aac090d1
  • e62d433e662bff743e8d0fc554c2308db6c72fa500e64091d76e127445f337e1
Комментарии: 0