#RAT

Отчет по анализу ClayRat: Вредоносный APK фото-архив.apk маскируется под архив, но крадёт SMS, захватывает экран через JNI и стучится на C2-сервер allan.clayrat.top. Обфускация — маркер apezdolskynet + Base64. Техники MITRE: SCREEN CAPTURE, NATIVE API, PROCESS DISCOVERY.

Отчет по анализу DCRat: EXE-файл обнаружен антивирусами как Trojan-Dropper. Динамика: запись в память системного процесса, маскировка под системную службу Windows, планирование задач через schtasks.exe, запуск через WMI, вызов сна для обхода анализа, Suricata-правило ET MALWARE DCRAT Activity.

Отчет по анализу LimeRAT: RTF-файл эксплуатирует CVE-2017-11882 через Equation Editor. Динамика: запись в память системного процесса, обход AppLocker через regsvr32, создание lsass.exe в %Temp%, подмена криптокошельков в буфере обмена, установка критического статуса процесса (BSOD). Техники MITRE: Signed Binary Proxy Execution, Query Registry, System Discovery.

Отчет по анализу LummaStealer: EXE-файл обнаружен Avira и Bitdefender. Динамика: запись в память системного процесса, компиляция через MSBuild.exe, DNS-запросы к .top/.life/.world, Dead Drop Resolver через Steam. Техники MITRE: Process Injection (.BSS секция с высокой энтропией), Application Layer Protocol.

Отчет по анализу QuasarRAT: EXE-файл обнаружен антивирусами (TR/Injector.usltx, Trojan.GenericKD.65826412). Динамика: запись в память системного процесса, планирование задач через schtasks.exe, сбор информации о системе, языке, GUID. Техники MITRE: Signed Binary Proxy Execution, Query Registry, Ingress Tool Transfer.

Отчет по анализу Remcos RAT: EXE-файл обнаружен ML (троян, дроппер, рекламное ПО). Динамика: добавление пути в исключения Windows Defender, запуск PowerShell, планирование задач через schtasks.exe. Техники MITRE: Scheduled Task/Job, Impair Defenses, Command and Scripting Interpreter.

Отчет по анализу RiseProStealer: EXE-файл detected антивирусами и ML-моделью. Динамика: создание задач в планировщике Windows, запись в память системного процесса, признаки XWorm. Дампы с CVE-2017-0245. Техники MITRE: System Location Discovery, Masquerading, Scheduled Task. Подключение к C2.

Отчет по анализу SecTopRAT: EXE-файл обнаружен антивирусами как HijackLoader. Динамика: обход AMSI, компиляция через msbuild, кража данных из почтовых приложений и браузеров, Suricata-правило Arechclient2/SecTopRAT. Создан вредоносный PowerShell-скрипт Conrent.ps1.

Отчет по анализу ValleyRAT: EXE-файл обнаружен Avira и Bitdefender. Динамика: создание драйвера kernelquick.sys, использование explorer.exe для выполнения стороннего файла, сработало Suricata-правило ET MALWARE Anonymous RAT CnC Checkin. Техники MITRE: Pre-OS Boot, System Network Configuration Discovery, Process Discovery.

Отчет по анализу XWorm: EXE-файл обнаружен Kaspersky и F-Secure. Динамика: обход AMSI, отключение скрытых файлов, изменение Defender, PowerShell, задачи в планировщике, автозагрузка. Техники MITRE: Command Interpreter, Scheduled Task, Impair Defenses, Autorstart Execution.