setodaNote

忘れる用のメモ書き

2018-07-27 記事まとめ

Proofpoint の研究者が発見した広範囲の回避技術を備えた新たなRAT:Parasite HTTP

わずか 49kb の中に多数の検知回避技術を備えた Parasite HTTP という RAT についての解析レポート。

<概要>

■Features
・No dependencies (Coded in C)
・Small stub size (~49kb uncompressed, ~23kb compressed)
・Dynamic API calls (No IAT)
・Encrypted strings
・Bypass Ring3 hooks
・Secure C&C panel written in PHP
・Firewall bypass
・Supports both x86 and x64 Windows OS (from XP to 10)
・Full unicode support
・Online builder tied to your domain/s 
 (Build bot bin anytime with any settings you wish)
・Encrypted communication with C&C panel 
 (Optional - SSL using self signed certificate)
・Plugin system
・Multiple backup domains
・System wide persistence (x86 processes only) (Optional)
・Injection to whitelisted system process (Optional)
・Install & Melt (Optional)
・Hidden startup (Optional)
・Anti-Emulation (Optional)
・Anti-Debug
・Extended statistics and informations in the panel
・Advanced task management system
・On Connect task (New clients will execute task/s)
・Low resource usage
・Special login page security code
・Captcha on login page to prevent brute force attacks
・Download & Execute (Supports both HTTP and HTTPS links)
・Update
・Uninstall

■Available Plugins (Some are created by me)
・User management
・Browser password recovery
・FTP password recovery
・IM password recovery
・Email password recovery
・Windows licence keys recovery
・Hidden VNC
・Reverse Socks5 proxy

■System Req
・PHP 5.6 or greater (Gd & OpenSSL)
・IonCube Loader
・SQL Database

 

Underminer という名の新たな EK について

Underminer をという名前の新しい悪用キットの解析レポート。

■特徴
・マイニングマルウェア Hidden Mellifera と同様にシステムのブートセクターに感染する
・暗号化された TCP トンネルを介してマルウェアを転送する
・マルウェアを romfs 形式に似たカスタム形式でパッケージする
・この EK は 2017年11月に作成された
・アジアの国を中心にそのペイロードを7月17日から配布し始めている
・7月17日から7月23日にかけての観測における国別配布割合では実に 69.75% が日本

 

攻撃開始: サプライ チェーン内で侵害されたサプライ チェーンの新しいリスク

 

DotNetToJScript ツールキットを悪用したファイルレス手法

CactusTorch が DotNetToJScript を利用してメモリ上で悪性の.NETアセンブリを実行するファイルレス手法を利用しているというレポート。

One fileless threat, CactusTorch, uses the DotNetToJScript technique, which loads and executes malicious .NET assemblies straight from memory.