Кинжал: Этот payload выполняет несколько действий. Сначала он проверяет, обладает ли он правами администратора, и если нет, то запрашивает их. Затем он пытается обойти контроль учетных записей (UAC) и отключает функции безопасности, такие как SmartScreen и Windows Defender, изменяя настройки реестра и отключая запланированные задачи. Payload очищает системные и журналы событий безопасности, чтобы скрыть свои следы. Он устанавливает сетевое соединение с удаленным сервером для получения команд и отправки данных. Payload извлекает уникальный идентификатор машины, вычисляет его CRC32 и отправляет эту информацию на сервер. Он может выполнять системные и PowerShell команды, полученные с сервера, с результатами, которые либо отправляются обратно по сети, либо загружаются на OneDrive, Google Drive, Dropbox или AWS через API токен. Кроме того, он использует процесс hollowing для внедрения своего payload в легитимный системный процесс (svchost.exe), обеспечивая его скрытное выполнение в фоновом режиме.
❤4
Сармат: Этот бэкдор включает следующие компоненты:
1. Обработчик управления службой: Регистрирует обработчик управления службой для управления состоянием службы.
2. Основная функция вредоносного ПО: Заглушка для основной логики бэкдора.
3. Чтение конфигурации: Инициализирует конфигурацию с заполнительными значениями.
4. Получение команд с C2: Симулирует получение команд с Command and Control (C2) сервера.
5. Обработка команд: Обрабатывает полученные команды (включая повышение привилегий и создание учетной записи SSH).
6. Цикл службы: Постоянно подключается к C2 серверу и обрабатывает команды, с обработкой ошибок и очисткой ресурсов.
1. Обработчик управления службой: Регистрирует обработчик управления службой для управления состоянием службы.
2. Основная функция вредоносного ПО: Заглушка для основной логики бэкдора.
3. Чтение конфигурации: Инициализирует конфигурацию с заполнительными значениями.
4. Получение команд с C2: Симулирует получение команд с Command and Control (C2) сервера.
5. Обработка команд: Обрабатывает полученные команды (включая повышение привилегий и создание учетной записи SSH).
6. Цикл службы: Постоянно подключается к C2 серверу и обрабатывает команды, с обработкой ошибок и очисткой ресурсов.
APT Attack Simulation
Этот репозиторий представляет собой сборник всех симуляций APT-групп из России, Китая, Ирана и Северной Кореи, нацеленных на различные важные сектора, как частные, так и государственные. Симуляция включает в себя написанные инструменты, серверы C2, бекдоры, техники эксплуатации, стейджеры, загрузчики и многие другие инструменты, которые могли бы использоваться злоумышленниками в реальных атаках. Эти инструменты и TTP (тактики, техники и процедуры) здесь смоделированы. Для создания этих симуляций я опирался на данные от Palo Alto Networks Unit 42, Kaspersky, Microsoft, Cisco, Trellix, CrowdStrike и WithSecure.
https://github.com/S3N4T0R-0X0/APT-Attack-Simulation
Этот репозиторий представляет собой сборник всех симуляций APT-групп из России, Китая, Ирана и Северной Кореи, нацеленных на различные важные сектора, как частные, так и государственные. Симуляция включает в себя написанные инструменты, серверы C2, бекдоры, техники эксплуатации, стейджеры, загрузчики и многие другие инструменты, которые могли бы использоваться злоумышленниками в реальных атаках. Эти инструменты и TTP (тактики, техники и процедуры) здесь смоделированы. Для создания этих симуляций я опирался на данные от Palo Alto Networks Unit 42, Kaspersky, Microsoft, Cisco, Trellix, CrowdStrike и WithSecure.
https://github.com/S3N4T0R-0X0/APT-Attack-Simulation
🚨Новая симуляция атаки китайской APT-группы🚨
Это симуляция атаки группы (Mustang Panda), нацеленной на правительственные учреждения в Юго-Восточной Азии. Кампания атаки была активна с конца сентября 2023 года. Цепочка атаки начинается с использования обратной оболочки Visual Studio Code для выполнения произвольного кода и доставки дополнительных полезных нагрузок. Чтобы использовать Visual Studio Code в злонамеренных целях, злоумышленник может воспользоваться портативной версией code.exe (исполняемый файл Visual Studio Code) или уже установленной версией программы. Выполнив команду code.exe tunnel, злоумышленник получает ссылку, которая требует авторизации в GitHub через собственный аккаунт. Для создания этой симуляции я опирался на данные Palo Alto Networks Unit 42.
Репозиторий на Github: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/Chinese%20APT/Mustang%20Panda
Это симуляция атаки группы (Mustang Panda), нацеленной на правительственные учреждения в Юго-Восточной Азии. Кампания атаки была активна с конца сентября 2023 года. Цепочка атаки начинается с использования обратной оболочки Visual Studio Code для выполнения произвольного кода и доставки дополнительных полезных нагрузок. Чтобы использовать Visual Studio Code в злонамеренных целях, злоумышленник может воспользоваться портативной версией code.exe (исполняемый файл Visual Studio Code) или уже установленной версией программы. Выполнив команду code.exe tunnel, злоумышленник получает ссылку, которая требует авторизации в GitHub через собственный аккаунт. Для создания этой симуляции я опирался на данные Palo Alto Networks Unit 42.
Репозиторий на Github: https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/tree/main/Chinese%20APT/Mustang%20Panda