Блог

Отчет по анализу ClayRat: Вредоносный APK фото-архив.apk маскируется под архив, но крадёт SMS, захватывает экран через JNI и стучится на C2-сервер allan.clayrat.top. Обфускация — маркер apezdolskynet + Base64. Техники MITRE: SCREEN CAPTURE, NATIVE API, PROCESS DISCOVERY.

Отчет по анализу RiseProStealer: EXE-файл detected антивирусами и ML-моделью. Динамика: создание задач в планировщике Windows, запись в память системного процесса, признаки XWorm. Дампы с CVE-2017-0245. Техники MITRE: System Location Discovery, Masquerading, Scheduled Task. Подключение к C2.

Отчет по анализу CoinMiner: VBS-файл обнаружен правилом ObfuscatedScript. Динамика: скачивание файла через PowerShell, запуск через rundll32.exe, создание папки в ProgramData, загрузка .cpl с GitHub, отвлекающая веб-страница. Техники MITRE: Command and Scripting Interpreter, Create or modify system process, Hide artifacts.

Отчет по анализу LummaStealer: EXE-файл обнаружен Avira и Bitdefender. Динамика: запись в память системного процесса, компиляция через MSBuild.exe, DNS-запросы к .top/.life/.world, Dead Drop Resolver через Steam. Техники MITRE: Process Injection (.BSS секция с высокой энтропией), Application Layer Protocol.

Отчет по анализу DarkCloud: EXE-файл обнаружен Bitdefender (Trojan.GenericKD.75954438) и YARA-правилами DarkCloud. Динамика: кража данных из диспетчера учетных записей, FTP-клиентов, почтовых приложений; изменение настроек Windows Defender; планирование задач через schtasks.exe. Техники MITRE: Scheduled Task/Job, Boot/Logon Autorstart Execution, Credentials From Password Stores, Unsecured Credentials.

Отчет по анализу XWorm: EXE-файл обнаружен Kaspersky и F-Secure. Динамика: обход AMSI, отключение скрытых файлов, изменение Defender, PowerShell, задачи в планировщике, автозагрузка. Техники MITRE: Command Interpreter, Scheduled Task, Impair Defenses, Autorstart Execution.

Отчет по анализу ValleyRAT: EXE-файл обнаружен Avira и Bitdefender. Динамика: создание драйвера kernelquick.sys, использование explorer.exe для выполнения стороннего файла, сработало Suricata-правило ET MALWARE Anonymous RAT CnC Checkin. Техники MITRE: Pre-OS Boot, System Network Configuration Discovery, Process Discovery.

Отчет по анализу LCRYPTX: VBS-файл обнаружен YARA-правилами LCRYPTX, GreyWareTools, ObfuscatedScript. Динамика: завершение процессов через taskkill, запись в память системного процесса, отключение UAC, диспетчера задач, командной строки, панели управления, редактора реестра, удаление резервных и теневых копий, изменение обоев, инверсия кнопок мыши.

Отчет по анализу SecTopRAT: EXE-файл обнаружен антивирусами как HijackLoader. Динамика: обход AMSI, компиляция через msbuild, кража данных из почтовых приложений и браузеров, Suricata-правило Arechclient2/SecTopRAT. Создан вредоносный PowerShell-скрипт Conrent.ps1.