TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьDarkComet RAT: Технический анализ цепочки атак
DarkComet RAT - это троян для удаленного доступа (RAT), который был первоначально разработан в 2008 году Жан-Пьером Лесюером. Он предназначен для бесшумной работы в фоновом режиме, сбора конфиденциальной информации о системе, пользователях и сетевой активности. Вредоносная программа пытается украсть сохраненные учетные данные, имена пользователей, пароли и другие персональные данные, передавая эту информацию по назначению, указанному злоумышленником. DarkComet также может установить дополнительное вредоносное программное обеспечение на зараженный компьютер или включить его в ботнет для рассылки спама или других вредоносных действий. Она использует операцию командной строки для изменения атрибутов файла и удаляет исполняемый файл по адресу C:\Users\admin\Documents\MSDCSC\msdcsc.exe, что затрудняет его обнаружение. Вредоносная программа устанавливает связь с указанным вредоносным доменом, позволяя осуществлять удаленное управление и фильтрацию данных. Он взаимодействует с Windows API LookupPrivilegeValueA и AdjustTokenPrivileges для изменения привилегий, связанных с токеном доступа текущего процесса. DarkComet использует функцию под названием sub_4735E8 для обработки различных фрагментов данных, включая извлечение и манипулирование системной информацией, профилем оборудования и другими данными. Вредоносная программа удаляет файл с именем msdcsc.exe в C:\Users\admin\Documents\MSDCSC \ directory и запускает его оттуда, поддерживая работоспособность зараженной системы с помощью загрузки библиотеки DLL и разрешения функций, а также различных функциональных возможностей RAT, таких как имитация действий мыши и клавиатуры, захват ввода с клавиатуры и взаимодействие с системным дисплеем и буфером обмена.
Ссылка:https://any.run/cybersecurity-blog/darkcomet-rat-technical-analysis/
Выборочные показатели Compromise:
- https://any.run/cybersecurity-blog/darkcomet-rat-technical-analysis/
- any.run
- 0dd8c542fd46dd5b55eefcf35382ee8903533703
- 90d3dbe2c8ae46b970a865f597d091688e7c04c7886a1ec287e4b7a0f5e2fcf1
- 1b540a732f2d75c895e034c56813676a
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
КОНТРОЛИРУЙ РИСКИ:
Пентест для защиты бизнеса
Реалистичная проверка устойчивости ваших систем.
Протестировать
