(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 8)

11/09/2015 05:00

Việc phát hiện công cụ RAT này là khả thi bằng một số các phương pháp, cả trên một máy cụ thể và trên hệ thống mạng. Dưới đây là các thông tin chi tiết, và được thiết kế mở rộng dựa vào các chỉ số được báo cáo trong báo cáo khác của CrowdStrike.

 Phân tích kỹ thuật – Giảm thiểu và khắc phục (Kỳ 3)

Hacker-thumb-print

THÀNH PHẦN REGISTRY

Các thành phần trong Windows registry sau cho thấy máy tính bị xâm nhập
• Khóa Registry ASEP HKCUSoftwareMicrosoftWindows CurrentVersionRun, và
value được thiết lập là McUpdate

[headlinebox title=”Mục lục” state=”ẩn/hiện” float=”left” w=”40%”]hdtbgdmtq.ml[/headlinebox]

THÀNH PHẦN TẬP TIN HỆ THỐNG

Các thành phần tập tin hệ thống hiển thị như sau cho thấy máy tính bị xâm nhập:
•  ssdpsvc.dll, msacem.dll, hoặc mrpmsg.dll
• C:RECYCLERrestore.dat
•  %TEMP%index.dat

DẤU HIỆU TRÊN MÁY TÍNH

Một tập tin ánh xạ có tên là &*SDKJfhksdf89*DIUK-JDSF&*sdfsdf78sdfsdf cũng cho thấy hệ thống nạn nhân bị xâm nhập bởi mã độc PUTTER PANDA.

DẤU HIỆU PHÁT HIỆN BẰNG CÔNG CỤ YARA

panda_v16.8

panda_v16.8.1

panda_v16.8.3

panda_v16.8.4

DẤU HIỆU TRONG MẠNG LƯỚI

Ngoài các tên miền được liệt kê trong các phần Phụ lục và trong phần Quy kết, các dấu hiệu chung dưới đây có thể được dùng để phát hiện hoạt động từ mã độc được mô tả trong báo cáo này.

CÁC DẤU HIỆU PHÁT HIỆN BẰNG CÔNG CỤ SNORT

panda_v16.8.5

 

panda_v16.8.6

TTPS

Ngoài các dấu hiệu nhận biết được mô tả ở trên, PUTTER PANDA có một số TTP đặc trưng chung sau:

•Kiểm tra kết nối đến www.google.com

•Dùng hàm API HashData để lấy nguyên liệu tạo khóa cho việc xác thực và mã hóa

•Dùng khóa Registry ASEP HKCUSoftwareMicrosoftWindowsCurrentVersion
Run

•Triển khai các tài liệu mồi lấy chủ đề là ngành không gian vũ trụ trong quá trình cài
đặt mã độc

(Còn tiếp)

Ban biên tập

Xem nhiều

Tin liên quan

BẠN CÓ THỂ QUAN TÂM

Video