- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 13м
- Сделки
- 251
- Нарушения
- 0 / 0
Symantec не смогла выяснить как Billbug получает первоначальный доступ к сетям жертв, но видела доказательства того, что это происходит с помощью эксплуатации известных уязвимостей в популярных приложениях. Как и в других своих кампаниях, Billbug комбинирует инструменты, используемые в системах жертв, различные утилиты и собственные вредоносные программы. Инструментарий хакеров выглядит так:
- AdFind
- Winmail
- WinRAR
- Ping
- Tracert
- Route
- NBTscan
- Certutil
- Port Scanner
Но в арсенале группировки есть и более экзотическое оружие, которое она часто применяет в ходе атак:
- Stowaway, многоуровневый прокси-инструмент на базе Go;
- Бэкдор Hannotog позволяет изменять настройки брандмауэра, закрепляться на взломанной машине, загружать зашифрованные данные, выполнять произвольные команды;
- Бэкдор Sagerunex развертывается с помощью Hannotog и внедряется в процесс "explorer.exe". Затем он записывает логи в локальный временный файл, зашифрованный с помощью алгоритма AES (256-бит). Конфигурация и состояние бэкдора также хранятся локально и шифруются алгоритмом RC4, причем ключи для обоих алгоритмов жестко закодированы во вредоносной программе. Затем Sagerunex подключается к C&C-серверу через HTTPS для отправки списка активных прокси-серверов и файлов, а также получает от операторов полезную нагрузку и shell-команды. Более того, он может выполнять программы и DLL, используя "runexe" и "rundll".
