Chủ đề

(Quốc tế) - Việc phát hiện công cụ RAT này là khả thi bằng một số các phương pháp, cả trên một máy cụ thể và trên hệ thống mạng. Dưới đây là các thông tin chi tiết, và được thiết kế mở rộng dựa vào các chỉ số được báo cáo trong báo cáo khác của CrowdStrike.

 Phân tích kỹ thuật – Giảm thiểu và khắc phục (Kỳ 3)

Hacker-thumb-print

THÀNH PHẦN REGISTRY

Các thành phần trong Windows registry sau cho thấy máy tính bị xâm nhập
• Khóa Registry ASEP HKCUSoftwareMicrosoftWindows CurrentVersionRun, và
value được thiết lập là McUpdate

Mục lục
[ẩn]

THÀNH PHẦN TẬP TIN HỆ THỐNG

Các thành phần tập tin hệ thống hiển thị như sau cho thấy máy tính bị xâm nhập:
•  ssdpsvc.dll, msacem.dll, hoặc mrpmsg.dll
• C:RECYCLERrestore.dat
•  %TEMP%index.dat

DẤU HIỆU TRÊN MÁY TÍNH

Một tập tin ánh xạ có tên là &*SDKJfhksdf89*DIUK-JDSF&*sdfsdf78sdfsdf cũng cho thấy hệ thống nạn nhân bị xâm nhập bởi mã độc PUTTER PANDA.

DẤU HIỆU PHÁT HIỆN BẰNG CÔNG CỤ YARA

panda_v16.8

panda_v16.8.1

panda_v16.8.3

panda_v16.8.4

DẤU HIỆU TRONG MẠNG LƯỚI

Ngoài các tên miền được liệt kê trong các phần Phụ lục và trong phần Quy kết, các dấu hiệu chung dưới đây có thể được dùng để phát hiện hoạt động từ mã độc được mô tả trong báo cáo này.

CÁC DẤU HIỆU PHÁT HIỆN BẰNG CÔNG CỤ SNORT

panda_v16.8.5

 

panda_v16.8.6

TTPS

Ngoài các dấu hiệu nhận biết được mô tả ở trên, PUTTER PANDA có một số TTP đặc trưng chung sau:

•Kiểm tra kết nối đến www.google.com

•Dùng hàm API HashData để lấy nguyên liệu tạo khóa cho việc xác thực và mã hóa

•Dùng khóa Registry ASEP HKCUSoftwareMicrosoftWindowsCurrentVersion
Run

•Triển khai các tài liệu mồi lấy chủ đề là ngành không gian vũ trụ trong quá trình cài
đặt mã độc

(Còn tiếp)

Ban biên tập

(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 7)

(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 7)

Các báo cáo khác của CrowdStrike mô tả một dropper (mã độc trung gian hỗ trợ cài đặt các mã độc khác lên hệ thống mục tiêu) được sử dụng bởi PUTTER PANDA (abc.scr) để cài đặt...
(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 6)

(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 6)

PUTTER PANDA sử dụng một vài công cụ quản trị từ xa (RAT). Trong số đó, hai công cụ phổ biến nhất, 4HRAT và 3PARA RAT, từng được đưa vào báo cáo CrowdStrike Intelligence trước đây....
(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 5)

(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 5)

Quan sát thời gian phát triển các công cụ PUTTER PANDA được mô tả trong báo cáo này từ năm 2007 đến cuối năm 2013 cho thấy, các tin tặc đã tiến hành nhiều chiến dịch tấn công nhằm...
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyentandung.org
Thích và chia sẻ bài này trên