SharpHide
Просто хороший прием, чтобы запутать расследование DFIR.
Использует собственный API-интерфейс NtSetValueKey для создания скрытого (с нулевым символом) ключа реестра.
Это работает путем добавления нулевого байта перед значением ключа UNICODE_STRING.
Инструмент использует следующий путь реестра, в котором он создает скрытый ключ запуска(HKCU, если пользователь, иначе HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.”
Техника
НЕВИДИМАЯ УСТОЙЧИВОСТЬ
Вредоносное ПО, работающее без повышенных привилегий в Windows, имеет ограниченные возможности для восстановления работы после перезагрузки системы (так называемое постоянство).
Вредоносное ПО, которое повышает привилегии с использованием эксплойтов нулевого дня или публичных эксплойтов, имеет больше возможностей для сохранения.
Однако нулевые дни стоят дорого, и их использование рискует их раскрытием, а публичные эксплойты не будут работать на исправленных системах.
Большинство вредоносных программ застревает с использованием хорошо известных методов сохранения, которые легко обнаруживаются.
Самый простой метод сохранения – это записать значение в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (или
аналогичный ключ в HKEY_LOCAL_MACHINE).
Значения этого ключа – команды, которые Windows выполняет, когда пользователь входит в систему (в случае HKEY_CURRENT_USER) или когда он загружается (в случае HKEY_LOCAL_MACHINE).
Вредоносная программа записывает путь к своему исполняемому файлу в ключ Run.
Таким образом, он восстанавливает выполнение после перезагрузки.
Поскольку это общеизвестный метод, подозрительным значением в ключе Run является красный флаг, указывающий на то, что система заражена.
Он также раскрывает местонахождение вредоносного ПО в системе, что делает сбор образцов для анализа очень простым.
БЕЗФАЙЛОВОЕ БИНАРНОЕ ХРАНЕНИЕ
КОНВЕНЦИОНАЛЬНОЕ ХРАНЕНИЕ ФАЙЛОВ НА ДИСКЕ
Антивирусное программное обеспечение сканирует файлы на диске.
Программное обеспечение антивирус хэширует файлы и отправляет сигнатуры в облако.
Некоторые антивирусы выполняют эвристические проверки файлов, хранящихся на диске.
Подозреваемые файлы вредоносного ПО могут даже быть тихо отправлены в облако.
Чтобы противостоять этому, вредоносные программы имеют несколько вариантов развития.
Файлы на диске могут быть обычными дропперами, которые обращаются к Интернету и загружают более существенные модули (которые загружаются в память, не касаясь диска).
Вредоносные программы также могут создавать исполняемые файлы, хранящиеся на диске, чтобы не отключать антивирусную эвристику.
Например, поскольку антивирус часто сканирует сегменты с высокой энтропией в PE (которые указывают на сжатые или зашифрованные данные), вредоносные программы могут избегать использования шифрования и сжатия для защиты своих исполняемых файлов.
Поскольку антивирус обладает эвристикой, которая сканирует таблицы импорта, вредоносные программы могут избежать импорта подозрительных функций.
Такие контрмеры обременительны для разработчиков вредоносных программ и, в любом случае, не гарантируют, что их двоичные файлы не будут отправлены в облако.
Скачать && Использовать
¯\_(ツ)_/¯
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.
