TTL OSINT

Анализ вредоносных программ StealC, часть 1

В этой статье "Анализ вредоносных программ StealC, часть 1", опубликованной Lexfo в журнале Malware, рассматривается анализ образца вредоносного по из семейства StealC для Windows. Автор автоматизирует этапы анализа, чтобы интегрировать их в автоматизированный конвейер для извлечения индикаторов компрометации. Анализ включает в себя упакованный образец, восстановление C2 и распаковку образца третьего этапа. Четвертая статья серии будет посвящена последнему этапу (StealC malware) и восстановлению C2 с помощью статического анализа. Обязательными условиями для написания этой статьи являются знакомство со словарем анализа вредоносных программ и использование изолированной среды для запуска вредоносных программ в контролируемой среде. Автор рекомендует использовать изолированные среды с открытым исходным кодом или закрытые программы, исходя из требуемого уровня конфиденциальности. В статье также используются такие термины, как сервер управления (C2), упаковщик, эмулятор и дизассемблер. Автор рекомендует использовать виртуальную среду для анализа вредоносных программ и приводит список полезных инструментов и плагинов. Образец для этого анализа был получен из Malware Bazaar и отнесен к семейству StealC.

Ссылка:https://blog.lexfo.fr/StealC_malware_analysis_part1.html

Выборочные показатели Compromise:

• 185.172.128.59
• http://185.172.128.59/ISetup8.exe
• https://github.com/cea-sec/miasm.git
• 9ee9346826f4cfd6b39a524a25cdc5de
• 9874c7bd9d008c8a7105c8e402813204d5c3ddc3fb8d1aaddbb0e19d65062dfb

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал