ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

13.06.2024 101 2 мин.

Технический анализ последнего варианта ValleyRAT

Ссылка: https://www.zscaler.com/blogs/security-research/technical-analysis-latest-variant-valleyrat

Примеры признаков компромисса:

• 02c1f92036278dfeabdc89d1a17da28f
• 81ab4d6b9a07e354b52a18690f98b8aa
• https://2024aasaf.oss-cn-hongkong.aliyuncs.com/TARE961424.exe
• https://2024aasaf.oss-cn-hongkong.aliyuncs.com/TARE965624%20.exehttps://2024fapiao.oss-cn-hongkong.aliyuncs.com/82407836函数.exehttps://scpgjhs.com/TARE965624.exehttps://tzsxr.com/customer.exehttp://mtw.so/6oAUvNhttp://kfurl.cn/kvukjhttp://mtw.so/5Fytvqhttps://fpwenj.zhangyaodong5.com/TARE985624.exehttps://2024aasaf.oss-cn-hongkong.aliyuncs.com/TARE967124.exeParent
• http://43.129.233.146/

мы получили пять файлов с сервера HFS и расшифровали их с помощью XOR и RC4-расшифровки. Затем расшифрованная библиотека DLL проверяет наличие программного обеспечения безопасности Qihoo и, если оно обнаружено, завершает его работу. Затем вредоносная программа загружает WINWORD2013.EXE, wwlib.dll и xig.ppt с сервера HFS, загружая вредоносную библиотеку DLL с именем wwlib.dll для загрузки и расшифровки зашифрованной библиотеки DLL с именем xig.ppt. Расшифрованный xig.ppt вводит шеллкод в svchost.exe, создавая приостановленный процесс и изменяя указатель инструкции на адрес выделенного шеллкода. Вредоносная программа устанавливает постоянство, добавляя C:\Users\WINWORD2013.EXE к ключу автозапуска и устанавливая атрибуты WINWORD2013.EXE, wwlib.dll и xig.ppt в FILE_ATTRIBUTE_SYSTEM | FILE_ATTRIBUTE_HIDDEN. Введенный шелл-код содержит важную информацию о конфигурации и разрешает API-интерфейсы для установления соединения с сервером управления (C&C).

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: https://www.zscaler.com/blogs/security-research/technical-analysis-latest-variant-valleyrat

Примеры признаков компромисса:

• 02c1f92036278dfeabdc89d1a17da28f
• 81ab4d6b9a07e354b52a18690f98b8aa
• https://2024aasaf.oss-cn-hongkong.aliyuncs.com/TARE961424.exe
• https://2024aasaf.oss-cn-hongkong.aliyuncs.com/TARE965624%20.exehttps://2024fapiao.oss-cn-hongkong.aliyuncs.com/82407836%E5%87%BD%E6%95%B0.exehttps://scpgjhs.com/TARE965624.exehttps://tzsxr.com/customer.exehttp://mtw.so/6oAUvNhttp://kfurl.cn/kvukjhttp://mtw.so/5Fytvqhttps://fpwenj.zhangyaodong5.com/TARE985624.exehttps://2024aasaf.oss-cn-hongkong.aliyuncs.com/TARE967124.exeParent
• http://43.129.233.146/

Источник: TTL OSINT