- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Alchimist предлагает веб-интерфейс с использованием упрощенного китайского языка, и он очень похож на фреймворк Manjusaka , который становится популярным среди китайских хакеров.
Alchimist предоставляет операторам простую в использовании платформу, которая позволяет генерировать и настраивать полезные нагрузки на зараженных устройствах для удаленного создания снимков экрана, выполнения произвольных команд и удаленного выполнения шелл-кода.
Alchimist позволяет создавать пользовательские механизмы заражения для сброса RAT-трояна Insekt на устройства и фрагменты PowerShell-кода (для Windows) и wget (для Linux) для развертывания трояна.
Адрес C&C-сервера жестко привязан к сгенерированному имплантату и содержит самозаверенный сертификат, созданный во время компиляции. Адрес C&C-сервера пингуется 10 раз в секунду. При этом, если все попытки установить соединение провалились, вредоносная программа повторяет попытку через час.
В то время как серверы Alchemist доставляют команды для выполнения, именно имплантат Insekt выполняет их в зараженных системах Windows и Linux. Insekt может выполнять следующие действия:
- Получить размеры файлов;
- Получить информацию об ОС;
- Запускать произвольные команды через cmd.exe или bash;
- Обновить текущий имплантат Insekt;
- Запускать произвольные команды от имени другого пользователя;
- Переходить в «режим сна» в течение периодов, установленных C&C;
- Создавать снимки экрана;
- Выступать в качестве прокси (используя SOCKS5);
- Манипулировать SSH-ключами;
- Выполнять сканирование портов и IP-адресов;
- Записывать или распаковывать файлы на диск;
- Выполнять шелл-код на хосте;
- Создавать новых пользователей
- Отключать и настраивать брандмауэр.
Alchimist — это еще одна возможность атаки для киберпреступников, у которых нет знаний или возможностей для создания всех компонентов, необходимых для изощренных кибератак.
