#phantomrshell — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #phantomrshell, aggregated by home.social.
-
PhantomRShell: бэкдор, который маскируется с помощью дизассемблера
У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».
https://habr.com/ru/companies/bastion/articles/1027224/
#дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research