Akira промахнулся

В продолжение статьи Avast размышления по поводу расшифровки файлов, зашифрованных программой-вымогателем Akira Ransomware. Пишем сами декриптор Читать далее...

Все блоги / Про интернет

Что нам шепчет коинмайнер? Упрощаем анализ применения SysWhispers2

При анализе вредоносного ПО, направленного на майнинг криптовалюты, интереснее всего исследовать именно загрузчики (лоадеры или дроперы) майнеров, чем сами майнеры, так как именно в загрузчиках в первую очередь реализуются техники, направленные на обход средств защиты и противодействие обнаружению....

Все блоги / Про интернет

Еще один пример использования IDAPy в REMA

Привет, Хабр! На примере малвары, используемой группировкой Kimsuky в 2021 году, я покажу, как можно упростить себе анализ, используя IDAPy для декодирования строк при статическом анализе сэмпла (или если и не упростить, то хотя бы сделать его более изящным:)). Рассматриваемый образец доступен на...

Все блоги / Про интернет

LockBit 3.0 (Black). Распространение в локальной сети в режиме PsExec

В статье рассматривается реализация нового механизма самораспространения программ‑вымогателей LockBit 3.0 (Black) в локальной сети с использованием общих сетевых ресурсов (Admin Shares) (PsExec). Читать далее...

Все блоги / Про интернет

Программа-вымогатель Zeppelin

Новый цикл статей, посвященных программам-вымогателям (ransomware). Первую статью я посвящаю семейству программ-вымогателей Zeppelin. Zeppelin изначально разрабатывались для "западного рынка", однако нередко используются для атак на российские компании. С образцом этого семества из последних атак я...

Все блоги / Про интернет

Ресерч свежего Excel документа с Loki malware внутри

Вечер добрый, Хабр! Решил немного изучить свежий сэмпл малваря LokiBot (31.08), который содержится в Excel документе и используется для фишинговой рассылки. В этой небольшой статье основное внимание уделено практической части поиска, извлечения и небольшого разбора поведения вредоноса. Надеюсь, что...

Все блоги / Про интернет

Расщепляем Malware PDF. Практический разбор фишинга на примере GetPDF от Cyberdefenders.com

Привет, Хабр! Меня зовут Антон, я ведущий инженер по ИБ в компании R-Vision, принимаю активное участие в развитии экспертизы в части расследования инцидентов и реагирования на них. А в свободное время я увлекаюсь расследованиями в направлении Digital Forensics & Incident Response (DFIR), Malware...

Все блоги / Про интернет

По следам TeamBot: как мы столкнулись с новыми функциями знакомого ВПО

В октябре 2021 года к нам в Solar JSOC CERT поступил запрос: одна крупная технологическая компания попросила помочь в расследовании инцидента. В процессе работы мы обнаружили старую знакомую - вредоносную DLL TeamBot (aka TeamSpy, TVSPY, TeamViewerENT, TVRAT), которая загружалась легитимной...

Все блоги / Про интернет

Средства автоматизации анализа вредоносных программ

На примере программы-вымогателя REvil рассматривается использование при анализе вредосного программного обеспечения таких средств автоматизации, как Python, IDAPython, x64bgpy. Демонстрируются их возможности по расшифровке конфигурационных данных, деобфускации строк и вызовов функций API для...

Все блоги / Про интернет

Анализ вредоносных программ. Интересные трюки

Решил сделать серию публикаций про интересные трюки и оригинальные идеи, выявленные при анализе вредоносных программ, а также и про подходы, которые использовались при анализе. Надеюсь, что публикации будет интересными, а возможности и желания хватит на большую серию, а там уже увидим… В качестве...

Все блоги / Про интернет

Обновки AgentTesla: командный центр в Telegram, TorProxy, стилер паролей и другие новые фичи

Недавно мы писали про протектор, который скрывает вредоносную программу AgentTesla, заслуженного пенсионера на рынке вредоносного ПО. Однако AgentTesla и не думает уходить со сцены, своей популярностью он обязан в том числе постоянной поддержке продукта разработчиками — в этом году авторы...

Все блоги / Про интернет

Исследование одного вредоноса

Попался мне недавно вредоносный doc файл, который рассылали с фишинговыми письмами. Я решил, что это неплохой повод поупражняться в реверс-инжиниринге и написать что-то новое на Хабр. Под катом — пример разбора вредоносного макроса-дроппера и не менее вредоносных dll. Читать дальше →...

Все блоги / Про интернет

Новый загрузчик Silence

Silence — группировка, которая специализируется на краже средств у клиентов банков и атаках на банковские системы. В отличие от других группировок (RTM, Carbanak, Buhtrap) Silence наиболее избирательно подходит к выбору жертвы, а также имеет богатый арсенал инструментов, который использует в...

Все блоги / Про интернет