Geekly articles weekly

рдкрд╛рд╡рд░рдкреВрд▓ рд╕рд╛рдЗрдмрд░рдмрд░реНрдЧ рдиреЗ рдЙрдиреНрдирдд рд╕реНрдерд╛рдиреАрдп рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЙрд▓ рдореЗрдВ рд╢реВрдиреНрдп-рджрд┐рди рднреЗрджреНрдпрддрд╛ рдореЗрдВ рдорд╣рд╛рд░рдд рд╣рд╛рд╕рд┐рд▓ рдХреА

27 рдЕрдЧрд╕реНрдд, 2018 рдХреЛ, рд╕реИрдВрдбрдмреЙрдХреНрд╕ рдИрдкреЗрдкрд░ рдЙрдкрдирд╛рдо рдХреЗ рд╕рд╛рде рдПрдХ рд╕реВрдЪрдирд╛ рд╕реБрд░рдХреНрд╖рд╛ рд╡рд┐рд╢реЗрд╖рдЬреНрдЮ рджреНрд╡рд╛рд░рд╛ рдЯреНрд╡рд┐рдЯрд░ рдкрд░ рд╢реВрдиреНрдп-рджрд┐рди рднреЗрджреНрдпрддрд╛ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рдХрд╛рд╢рд┐рдд рдХреА рдЧрдИ рдереАред рднреЗрджреНрдпрддрд╛ Microsoft рд╡рд┐рдВрдбреЛрдЬ рдХреЗ рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдХреЛ 7 рд╕реЗ 10 рддрдХ рдкреНрд░рднрд╛рд╡рд┐рдд рдХрд░рддреА рд╣реИ, рдЕрдзрд┐рдХ рд╕рдЯреАрдХ рд░реВрдк рд╕реЗ, рд╡рд┐рдВрдбреЛрдЬ рдЯрд╛рд╕реНрдХ рд╢рд╛рд╕рдХ рдореЗрдВ рдЙрдиреНрдирдд рд╕реНрдерд╛рдиреАрдп рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЙрд▓ (ALPC) рдЗрдВрдЯрд░рдлрд╝реЗрд╕ред рдпрд╣ рд╕реНрдерд╛рдиреАрдп рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ, рдЬреЛ рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдХреЛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕реНрддрд░ рд╕реЗ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдХреЛрдб рдХреЗ рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреЛ рдмрдврд╝рд╛рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред рд╣рдо рднреЗрджреНрдпрддрд╛ рдХреЗ рд╕рдордиреНрд╡рд┐рдд рдкреНрд░рдХрдЯреАрдХрд░рдг рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдмрд╛рдд рдирд╣реАрдВ рдХрд░ рд░рд╣реЗ рд╣реИрдВ - SandboxEscaper рдЦрд╛рддреЗ рдХреЛ рдЬрд▓реНрдж рд╣реА рд╣рдЯрд╛ рджрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛, рдХреЛрдИ рд╕рдорд╛рдкрди рдкреИрдЪ рдирд╣реАрдВ рдереЗред

рдЯреНрд╡реАрдЯ рд╕реЗ рд▓рд┐рдВрдХ рдкреНрд░реВрдл-рдСрдл-рдХреЙрдиреНрд╕реЗрдкреНрдЯ рд╢реЛрд╖рдг рдХреЛрдб рдХреЗ рд╕рд╛рде рдЧрд┐рдЯрд╣рдм рд░рд┐рдкреЙрдЬрд┐рдЯрд░реА рдХрд╛ рдиреЗрддреГрддреНрд╡ рдХрд┐рдпрд╛ - рди рдХреЗрд╡рд▓ рд╕рдВрдХрд▓рд┐рдд рд╕рдВрд╕реНрдХрд░рдг, рдмрд▓реНрдХрд┐ рд╕реНрд░реЛрдд рдХреЛрдб рднреАред рдЗрд╕рд▓рд┐рдП, рдХреЛрдИ рднреА рдЗрд╕реЗ рд╕реБрдзрд╛рд░рдиреЗ, рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рд╕реЗ рдмрдЪрдиреЗ, рдпрд╛ рдЗрд╕реЗ рдЕрдкрдиреЗ рдХреЛрдб рдореЗрдВ рд╢рд╛рдорд┐рд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╢реЛрд╖рдг рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддрд╛ рд╣реИред

рд╕рд╛рдорд╛рдиреНрдп рддреМрд░ рдкрд░, рдпрд╣ рдЖрд╢реНрдЪрд░реНрдп рдХреА рдмрд╛рдд рдирд╣реАрдВ рд╣реИ рдХрд┐ рд╕рд┐рд░реНрдл рджреЛ рджрд┐рди рдмрд╛рдж, рдкрд╛рд╡рд░рдкреВрд▓ рд╕рд╛рдЗрдмрд░рдмрд░реНрдЧ рдХреЗ рдЕрднрд┐рдпрд╛рди рдореЗрдВ рдЬрдВрдЧрд▓реА рдореЗрдВ рд╢реЛрд╖рдг рджрд┐рдЦрд╛рдИ рджрд┐рдпрд╛ред рдИрдПрд╕рдИрдЯреА рдЯреЗрд▓реАрдореЗрдЯреНрд░реА рдХреЗ рдЕрдиреБрд╕рд╛рд░, рд╣рдорд▓рд╛рд╡рд░реЛрдВ рдХреЗ рд▓рдХреНрд╖рд┐рдд рджреЗрд╢ рд░реВрд╕, рдпреВрдХреНрд░реЗрди, рдкреЛрд▓реИрдВрдб, рдЬрд░реНрдордиреА, рдпреВрдирд╛рдЗрдЯреЗрдб рдХрд┐рдВрдЧрдбрдо, рдЕрдореЗрд░рд┐рдХрд╛, рднрд╛рд░рдд, рдлрд┐рд▓реАрдкреАрдВрд╕, рдЪрд┐рд▓реА рд╣реИрдВред рдЕрдкреЗрдХреНрд╖рд╛рдХреГрдд рдХрдо рдкреАрдбрд╝рд┐рдд рд╣реИрдВ, рдЬреЛ рдЕрднрд┐рдпрд╛рди рдХреЗ рдЙрдЪреНрдЪ рд▓рдХреНрд╖реНрдпреАрдХрд░рдг рдХрд╛ рд╕рдВрдХреЗрдд рджреЗ рд╕рдХрддреЗ рд╣реИрдВред



рдкреЙрд╡рд░рдкреВрд▓ рдЯреВрд▓рдХрд┐рдЯ


рдИрдПрд╕рдИрдЯреА рдиреЗ рдЕрдкреЗрдХреНрд╖рд╛рдХреГрдд рд╣рд╛рд▓ рд╣реА рдореЗрдВ рдПрдХ рдирдпрд╛ рд╕рдореВрд╣ рджрд░реНрдЬ рдХрд┐рдпрд╛, рд╣рд╛рд▓рд╛рдВрдХрд┐, рдкрд╛рд╡рд░рдкреВрд▓ рд╣реИрдХрд░реНрд╕ рдХреЗ рдирд┐рдкрдЯрд╛рди рдореЗрдВ рдХрд╛рдлреА рд╡реНрдпрд╛рдкрдХ рдЙрдкрдХрд░рдг рд╣реИрдВред рдЕрдЧрд▓рд╛, рд╣рдо рд╕рдВрдХреНрд╖реЗрдк рдореЗрдВ рдЙрдирдореЗрдВ рд╕реЗ рдХреБрдЫ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░рддреЗ рд╣реИрдВред

ALPC рдореЗрдВ рд╕реНрдерд╛рдиреАрдп рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рдХрд╛ рдлрд╛рдпрджрд╛ рдЙрдард╛рдпрд╛ рдЧрдпрд╛


рдкрд╛рд╡рд░рдкреВрд▓ рдбреЗрд╡рд▓рдкрд░реНрд╕ рдиреЗ рд╕реИрдВрдбрдмреЙрдХреНрд╕рдЗрд╕реНрдкрд░ рджреНрд╡рд╛рд░рд╛ рдкреНрд░рдХрд╛рд╢рд┐рдд рдмрд╛рдЗрдирд░реА рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдирд╣реАрдВ рдХрд┐рдпрд╛ - рдЙрдиреНрд╣реЛрдВрдиреЗ рд╕реНрд░реЛрдд рдХреЛрдб рдХреЛ рдереЛрдбрд╝рд╛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд┐рдпрд╛ рдФрд░ рдЗрд╕реЗ рдкреБрди: рд╕рдВрд╢реЛрдзрд┐рдд рдХрд┐рдпрд╛ред рд╢реЛрд╖рдг рдХреЛ рд╕реБрд░рдХреНрд╖рд╛ рд╢реЛрдзрдХрд░реНрддрд╛рдУрдВ рдФрд░ рд╕реАрдИрдЖрд░рдЯреА рдЯреАрдореЛрдВ рджреНрд╡рд╛рд░рд╛ рднреА рдиреЛрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред


рдЪрд┐рддреНрд░ 1. рдХреЙрдкреАрд░рд╛рдЗрдЯ рд╢реЛрд╖рдг рд╡рд┐рд╡рд░рдг

рдЙрд▓реНрд▓рдВрдШрди SchRpcSetSecurity API SchRpcSetSecurity , рдЬреЛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреЛ рд╕рд╣реА рддрд░реАрдХреЗ рд╕реЗ рдорд╛рдиреНрдп рдирд╣реАрдВ рдХрд░рддрд╛ рд╣реИред рдЗрд╕ рдкреНрд░рдХрд╛рд░, рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреА рдкрд░рд╡рд╛рд╣ рдХрд┐рдП рдмрд┐рдирд╛, C:\Windows\Task рдХрд┐рд╕реА рднреА рдлрд╛рдЗрд▓ рдХреЛ рд▓рд┐рдЦ рд╕рдХрддрд╛ рд╣реИ - рдпрджрд┐ рдХреЛрдИ рд░реАрдб рдЕрдиреБрдорддрд┐ рд╣реИ, рддреЛ рд░рд╛рдЗрдЯ-рдкреНрд░реЛрдЯреЗрдХреНрдЯреЗрдб рдлрд╛рдЗрд▓ рдХреА рд╕рд╛рдордЧреНрд░реА рдХреЛ рдмрджрд▓рдирд╛ рд╕рдВрднрд╡ рд╣реИред

рдХреЛрдИ рднреА рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ C:\Windows\Task рд▓рд┐рдП рдлрд╛рдЗрд▓ рд▓рд┐рдЦ рд╕рдХрддрд╛ рд╣реИ, рдЗрд╕рд▓рд┐рдП рдЗрд╕ рдлрд╝реЛрд▓реНрдбрд░ рдореЗрдВ рдЖрдк рдПрдХ рдРрд╕реА рдлрд╛рдЗрд▓ рдмрдирд╛ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдХрд┐рд╕реА рднреА рдЯрд╛рд░рдЧреЗрдЯ рдлрд╛рдЗрд▓ рдХреЗ рд▓рд┐рдП рдПрдХ рдХрдбрд╝реА рд╣реИред рдлрд┐рд░, SchRpcSetSecurity рдлрд╝рдВрдХреНрд╢рди рдХреЛ рдХреЙрд▓ рдХрд░рдХреЗ, рдЖрдк рдЗрд╕ рд▓рдХреНрд╖реНрдп рдлрд╝рд╛рдЗрд▓ рдкрд░ рд▓реЗрдЦрди рдкрд╣реБрдВрдЪ рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рд╕реНрдерд╛рдиреАрдп рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рдкреНрд░рджрд╛рди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рд╣рдорд▓рд╛рд╡рд░ рдХреЛ рдЙрд╕ рд▓рдХреНрд╖реНрдп рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдЪрдпрди рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИ рдЬрд┐рд╕реЗ рдУрд╡рд░рд░рд╛рдЗрдЯ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ - рдпрд╣ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ рдХрд┐ рдпрд╣ рдлрд╝рд╛рдЗрд▓ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рд╕рд╛рде рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рд╣реЛред рд╡реИрдХрд▓реНрдкрд┐рдХ рд░реВрдк рд╕реЗ, рдпрд╣ рдПрдХ рд╕рд┐рд╕реНрдЯрдо рдлрд╛рдЗрд▓ рдпрд╛ рдкрд╣рд▓реЗ рд╕реЗ рд╕реНрдерд╛рдкрд┐рдд рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ рдХреЛ рдЕрдкрдбреЗрдЯ рдХрд░рдиреЗ рдХреА рдЙрдкрдпреЛрдЧрд┐рддрд╛ рд╣реЛ рд╕рдХрддреА рд╣реИ, рдЬреЛ рдирд┐рдпрдорд┐рдд рд░реВрдк рд╕реЗ рдЪрд▓рддреА рд╣реИред рдЕрдВрддрд┐рдо рдЪрд░рдг рд▓рдХреНрд╖реНрдп рдлрд╝рд╛рдЗрд▓ рдХреА рд╕рд╛рдордЧреНрд░реА рдХреЛ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдХреЛрдб рд╕реЗ рдмрджрд▓рдирд╛ рд╣реИред рдЗрд╕ рдкреНрд░рдХрд╛рд░, рдЕрдЧрд▓реЗ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рдирд┐рд╖реНрдкрд╛рджрди рдореЗрдВ, рдореВрд▓ рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреА рдкрд░рд╡рд╛рд╣ рдХрд┐рдП рдмрд┐рдирд╛, рдореИрд▓рд╡реЗрдпрд░ рдХреЗ рдкрд╛рд╕ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдЕрдзрд┐рдХрд╛рд░ рд╣реЛрдВрдЧреЗред

PowerPool рдбреЗрд╡рд▓рдкрд░реНрд╕ рдиреЗ рдлрд╝рд╛рдЗрд▓ C:\Program Files (x86)\Google\Update\GoogleUpdate.exe рдХреА рд╕рд╛рдордЧреНрд░реА рдХреЛ рдмрджрд▓рдиреЗ рдХрд╛ рдирд┐рд░реНрдгрдп рд▓рд┐рдпрд╛ред рдпрд╣ Google рдЕрдиреБрдкреНрд░рдпреЛрдЧреЛрдВ рдХреЗ рд▓рд┐рдП рдПрдХ рд╡реИрдз рдЕрдкрдбреЗрдЯрд░ рд╣реИ, рдЗрд╕реЗ рдирд┐рдпрдорд┐рдд рд░реВрдк рд╕реЗ Microsoft Windows рдХрд╛рд░реНрдп рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рд╕рд╛рде рдЪрд▓рд╛рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред


рдЪрд┐рддреНрд░ 2. Google рдЕрдкрдбреЗрдЯрд░ рдХреЗ рд▓рд┐рдП рдПрдХ рдХрдард┐рди рд▓рд┐рдВрдХ рдмрдирд╛рдирд╛


рдЪрд┐рддреНрд░ 3. Google рдЕрдкрдбреЗрдЯрд░ рдХреЗ рдирд┐рд╖реНрдкрд╛рджрди рдХреЗ рд▓рд┐рдП рдЕрдиреБрдорддрд┐рдпрд╛рдБ рдмрджрд▓рдиреЗ рдХреЗ рд▓рд┐рдП SchRpcCreateFolder рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛

рдКрдкрд░ рджрд┐рдП рдЧрдП рдЖрдВрдХрдбрд╝реЗ рдореЗрдВ рд╕рдВрдЪрд╛рд▓рди рдХрд╛ рдХреНрд░рдо, PowerPool рдСрдкрд░реЗрдЯрд░реЛрдВ рдХреЛ GoogleUpdate.exe рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп рдлрд╝рд╛рдЗрд▓ рдХреЗ рд▓рд┐рдП рд▓рд┐рдЦрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред рдлрд┐рд░ рд╡реЗ рдЗрд╕реЗ рдЕрдзрд┐рд▓реЗрдЦрд┐рдд рдХрд░ рджреЗрддреЗ рд╣реИрдВ, рдЙрдирдХреЗ рджреВрд╕рд░реЗ рдЪрд░рдг рдХреЗ рдореИрд▓рд╡реЗрдпрд░ рдХреА рдПрдХ рдкреНрд░рддрд┐ рдХреЗ рд╕рд╛рде рдкреНрд░рддрд┐рд╕реНрдерд╛рдкрд┐рдд рдХрд░рддреЗ рд╣реИрдВ (рд╣рдо рдиреАрдЪреЗ рдХрд╛ рд╡рд░реНрдгрди рдХрд░реЗрдВрдЧреЗ) рдкреНрд░рд╢рд╛рд╕рдХ рдЕрдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЕрдЧрд▓реА рдмрд╛рд░ рдЬрдм updater рдХрд╣рд╛ рдЬрд╛рддрд╛ рд╣реИред

рдкреНрд░рд╛рд░рдВрднрд┐рдХ рд╕рдордЭреМрддрд╛


рдкреЙрд╡рд░рдкреВрд▓ рдЯреАрдо рдкрд╣рд▓реЗ рд╢рд┐рдХрд╛рд░ рд╕реЗ рд╕рдордЭреМрддрд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╡рд┐рднрд┐рдиреНрди рддрд░реАрдХреЛрдВ рдХрд╛ рдЗрд╕реНрддреЗрдорд╛рд▓ рдХрд░рддреА рд╣реИред рдЙрдирдореЗрдВ рд╕реЗ рдПрдХ рдЕрдиреБрд▓рдЧреНрдирдХ рдореЗрдВ рдкрд╣рд▓реЗ рдЪрд░рдг рдХреЗ рдореИрд▓рд╡реЗрдпрд░ рдХреЗ рд╕рд╛рде рд╕реНрдкреИрдо рдореЗрд▓рд┐рдВрдЧ рд╣реИред рдирд┐рд╖реНрдХрд░реНрд╖ рдирд┐рдХрд╛рд▓рдирд╛ рдЬрд▓реНрджрдмрд╛рдЬреА рд╣реЛрдЧреА, рд▓реЗрдХрд┐рди рдЕрднреА рддрдХ рд╣рдордиреЗ рдЯреЗрд▓реАрдореЗрдЯреНрд░реА рдбреЗрдЯрд╛ рдореЗрдВ рдмрд╣реБрдд рдХрдо рдирдореВрдиреЗ рджреЗрдЦреЗ рд╣реИрдВ, рдЗрд╕рд▓рд┐рдП рд╣рдо рдорд╛рдирддреЗ рд╣реИрдВ рдХрд┐ рдкреНрд░рд╛рдкреНрддрдХрд░реНрддрд╛ рд╕рд╛рд╡рдзрд╛рдиреА рд╕реЗ рдЪреБрдиреЗ рдЧрдП рд╣реИрдВ рдФрд░ рд╣рдо рд╕рд╛рдореВрд╣рд┐рдХ рдореЗрд▓рд┐рдВрдЧ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдмрд╛рдд рдирд╣реАрдВ рдХрд░ рд░рд╣реЗ рд╣реИрдВред

рджреВрд╕рд░реА рдУрд░, рд╣рдо рдЬрд╛рдирддреЗ рд╣реИрдВ рдХрд┐ рдЕрддреАрдд рдореЗрдВ рдкрд╛рд╡рд░рдкреВрд▓ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рд╕реНрдкреИрдо рдореЗрд▓рд┐рдВрдЧ рдХрд╛ рдЕрднреНрдпрд╛рд╕ рдХрд░рддрд╛ рдерд╛ред рдордИ 2018 рдореЗрдВ рдкреНрд░рдХрд╛рд╢рд┐рдд рдПрдХ рдПрд╕рдПрдирдПрд╕ рдмреНрд▓реЙрдЧ рдкреЛрд╕реНрдЯ рдХреЗ рдЕрдиреБрд╕рд╛рд░, рдЙрдиреНрд╣реЛрдВрдиреЗ рдореИрд▓рд╡реЗрдпрд░ рдлреИрд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рд╕рд┐рдореНрдмреЛрд▓рд┐рдХ рд▓рд┐рдВрдХ рдлрд╝рд╛рдЗрд▓реЛрдВ (.slk) рдХреЗ рд╕рд╛рде рдПрдХ рдпреЛрдЬрдирд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ред Microsoft Excel рдЗрди рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рд▓реЛрдб рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдЬреЛ рд╕реЗрд▓ рдХреЛ рдЕрдкрдбреЗрдЯ рдХрд░рддреЗ рд╣реИрдВ рдФрд░ Excel рдХреЛ PowerShell рдХреЛрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХрд╛ рдХрд╛рд░рдг рдмрдирд╛рддреЗ рд╣реИрдВред рдРрд╕рд╛ рдкреНрд░рддреАрдд рд╣реЛрддрд╛ рд╣реИ рдХрд┐ рдЗрди .slk рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рд╕реНрдкреИрдо рд╕рдВрджреЗрд╢реЛрдВ рдореЗрдВ рднреА рд╡рд┐рддрд░рд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред SANS рдкреЛрд╕реНрдЯ (SHA-1: b2dc703d3af1d015f4d53b6dbb624f5ade5553) рдореЗрдВ рдЙрд▓реНрд▓рд┐рдЦрд┐рдд рдкрд╣рд▓реА рдлрд╝рд╛рдЗрд▓ рдХреЗ рдЖрдзрд╛рд░ рдкрд░, рдЖрдк VirusTotal (SHA-1: e0882e234cba94b5c5df2df05959) рдХреЗ рд▓рд┐рдП рд╕рдВрдмрдВрдзрд┐рдд рд╕реНрдкреИрдо рдирдореВрдирд╛ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВред


рдЪрд┐рддреНрд░рд╛ 4. рдкрд╛рд╡рд░рдкреВрд▓ рд╕реНрдкреИрдо

рд╡рд┐рдВрдбреЛрдЬ рдмреИрдХрдбреЛрд░


рдкрд╛рд╡рд░рдкреВрд▓ рд╕рдореВрд╣ рдЖрдорддреМрд░ рдкрд░ рджреЛ рдмреИрдХрдбреЛрд░ рдХреЗ рд╕рд╛рде рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ: рдкрд╣рд▓реЗ рдЪрд░рдг рдХреЗ рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдХрд╛ рдЙрдкрдпреЛрдЧ рдкреНрд░рд╛рд░рдВрднрд┐рдХ рд╕рдордЭреМрддреЗ рдХреЗ рдмрд╛рдж рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рджреВрд╕рд░реЗ рдЪрд░рдг рдХреЗ рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдХреЛ рдХреЗрд╡рд▓ рдмреНрдпрд╛рдЬ рдХреА рдорд╢реАрдиреЛрдВ рдкрд░ рд▓рд╛рдЧреВ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

рдкрд╣рд▓рд╛ рдЪрд░рдг рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ


рдпрд╣ рдмреБрджреНрдзрд┐ рдХреЗ рд▓рд┐рдП рдЗрд╕реНрддреЗрдорд╛рд▓ рдХрд┐рдпрд╛ рдЬрд╛рдиреЗ рд╡рд╛рд▓рд╛ рдореВрд▓ рдореИрд▓рд╡реЗрдпрд░ рд╣реИред рджреЛ рд╡рд┐рдВрдбреЛрдЬ рдирд┐рд╖реНрдкрд╛рджрдирдпреЛрдЧреНрдп рд╕реЗ рдорд┐рд▓рдХрд░ рдмрдирддрд╛ рд╣реИред

рдЗрдирдореЗрдВ рд╕реЗ рдкрд╣рд▓рд╛ рдореБрдЦреНрдп рдмреИрдХрдбреЛрд░ рд╣реИ, рдЬреЛ рд╕реЗрд╡рд╛ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рджреГрдврд╝рддрд╛ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИред рдпрд╣ MyDemonMutex%d рдирд╛рдордХ рдПрдХ рдореНрдпреВрдЯреЗрдХреНрд╕ рднреА рдмрдирд╛рддрд╛ рд╣реИ, рдЬрд╣рд╛рдБ %d 0 рд╕реЗ 10 рддрдХ рдХреА рд╕реАрдорд╛ рдореЗрдВ рд╣реИред рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдкреНрд░реЙрдХреНрд╕реА рдЬрд╛рдирдХрд╛рд░реА рдПрдХрддреНрд░ рдХрд░рддрд╛ рд╣реИ, C & C рд╕рд░реНрд╡рд░ рдХрд╛ рдкрддрд╛ рдмрд╛рдЗрдирд░реА рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рд╣рд╛рд░реНрдбрдХреЛрдб рд╣реЛрддрд╛ рд╣реИред рдорд╛рд▓рд╡реЗрдпрд░ рдХрдорд╛рдВрдб рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рдмреЗрд╕рд┐рдХ рдЗрдВрдЯреЗрд▓рд┐рдЬреЗрдВрд╕ рдХрд░ рд╕рдХрддрд╛ рд╣реИ, рдбреЗрдЯрд╛ рдХреЛ C & C рд╕рд░реНрд╡рд░ рдореЗрдВ рд╕реНрдерд╛рдирд╛рдВрддрд░рд┐рдд рдХрд░ рд╕рдХрддрд╛ рд╣реИред


рдЪрд┐рддреНрд░рд╛ 5. рдкреНрд░реЙрдХреНрд╕реА рдЬрд╛рдирдХрд╛рд░реА рдПрдХрддреНрд░ рдХрд░рдирд╛

рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рджреВрд╕рд░реЗ рдХрд╛ рдПрдХ рдЙрджреНрджреЗрд╢реНрдп рд╣реИред рд╡рд╣ рдПрдХ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рд▓реЗрддрд╛ рд╣реИ рдФрд░ рдЗрд╕реЗ MyScreen.jpg рдлрд╝рд╛рдЗрд▓ рдореЗрдВ MyScreen.jpg , рдЬрд┐рд╕реЗ рдмрд╛рдж рдореЗрдВ рдореБрдЦреНрдп рдмреИрдХрдбреЛрд░ рджреНрд╡рд╛рд░рд╛ рдлрд╝рд┐рд▓реНрдЯрд░ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

рджреВрд╕рд░рд╛ рдЪрд░рдг рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ


рдорд╛рд▓рд╡рд░ рдХреЛ рдкрд╣рд▓реЗ рдЪрд░рдг рдХреЗ рджреМрд░рд╛рди рд▓реЛрдб рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рд╕рдВрднрд╡рддрдГ рдпрджрд┐ рдорд╢реАрди рдСрдкрд░реЗрдЯрд░реЛрдВ рдХреЗ рд▓рд┐рдП рджрд┐рд▓рдЪрд╕реНрдк рд▓рдЧрддреА рд╣реИред рд╣рд╛рд▓рд╛рдВрдХрд┐, рдХрд╛рд░реНрдпрдХреНрд░рдо рдПрдХ рдЖрдзреБрдирд┐рдХ рдПрдЖрд░рдЯреА рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдХреА рддрд░рд╣ рдирд╣реАрдВ рд╣реИред

C рдФрд░ C рд╕рд░реНрд╡рд░ рдХрд╛ рдкрддрд╛ рдмрд╛рдЗрдирд░реА рдкреНрд░рд╛рд░реВрдк рдореЗрдВ рд╣рд╛рд░реНрдб-рдХреЛрдбрд┐рдд рд╣реИ, рдЗрд╕ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдЖрдЗрдЯрдо рдХреЛ рдЕрдкрдбреЗрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреЛрдИ рддрдВрддреНрд░ рдирд╣реАрдВ рд╣реИред рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ http://[C&C domain]/cmdpool рдФрд░ http://[C&C domain]/upload рд╕реЗ рдЕрддрд┐рд░рд┐рдХреНрдд рдлрд╛рдЗрд▓реЗрдВ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рддрд╛ рд╣реИред рдЕрддрд┐рд░рд┐рдХреНрдд рдлрд╛рдЗрд▓реЗрдВ рдореБрдЦреНрдп рд░реВрдк рд╕реЗ рдХреНрд╖реИрддрд┐рдЬ рдЖрдВрджреЛрд▓рди рдХреЗ рд▓рд┐рдП рдЙрдкрдХрд░рдг рд╣реИрдВ, рдЬрд┐рдирдХрд╛ рдЙрд▓реНрд▓реЗрдЦ рдиреАрдЪреЗ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред

рд╕рдорд░реНрдерд┐рдд рдХрдорд╛рдВрдб:
- рдХрдорд╛рдВрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░реЗрдВ
- рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛ рдкреВрд░рд╛ рдХрд░реЗрдВ
- рдлрд╛рдЗрд▓ рднреЗрдЬреЗрдВ
- рдбрд╛рдЙрдирд▓реЛрдб рдлрд╝рд╛рдЗрд▓
- рдлрд╝реЛрд▓реНрдбрд░ рд╕рд╛рдордЧреНрд░реА рджреЗрдЦреЗрдВ

рдХрдорд╛рдВрдб JSON рдкреНрд░рд╛рд░реВрдк рдореЗрдВ рднреЗрдЬреЗ рдЬрд╛рддреЗ рд╣реИрдВред рдиреАрдЪреЗ рджрд┐рдП рдЧрдП рдЙрджрд╛рд╣рд░рдг рдХрдорд╛рдВрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдФрд░ рдлрд╝реЛрд▓реНрдбрд░реЛрдВ рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЕрдиреБрд░реЛрдз рд╣реИрдВ:


рдЪрд┐рддреНрд░рд╛ 6. рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдХреЗ рдЙрджрд╛рд╣рд░рдг

рдХреНрд╖реИрддрд┐рдЬ рдЖрдВрджреЛрд▓рди рдХреЗ рд▓рд┐рдП рдЙрдкрдХрд░рдг


рджреВрд╕рд░реЗ рдЪрд░рдг рдХреЗ рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рдирд┐рд░рдВрддрд░ рдкрд╣реБрдВрдЪ рдкреНрд░рджрд╛рди рдХрд░рдХреЗ, рдкрд╛рд╡рд░рдкреВрд▓ рдСрдкрд░реЗрдЯрд░ рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдХреНрд╖реИрддрд┐рдЬ рдЧрддрд┐ рдХреЗ рд▓рд┐рдП, рдореБрдЦреНрдп рд░реВрдк рд╕реЗ рдкрд╛рд╡рд░рд╢реЗрд▓ рдореЗрдВ рд▓рд┐рдЦреЗ рдЧрдП рдХрдИ рдУрдкрди-рд╕реЛрд░реНрд╕ рдЯреВрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реИрдВред

- рдкреЙрд╡рд░рдбрдВрдк : рдореЗрдЯрд╛рд╕реНрдкреНрд▓реЛрдЗрдЯ рдореЙрдбреНрдпреВрд▓ рдЬреЛ рд╕рд┐рдХреНрдпреЛрд░рд┐рдЯреА рдЕрдХрд╛рдЙрдВрдЯ рдореИрдиреЗрдЬрд░ рд╕реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдФрд░ рд╣реИрд╢ рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддрд╛ рд╣реИред
- PowerSploit : PowerShell рдореЙрдбреНрдпреВрд▓ рдХрд╛ рд╕рдВрдЧреНрд░рд╣, рдПрдХ рд▓рд╛ рдореЗрдЯрд╛рд╕реНрдкреНрд▓реЛрдЗрдЯред
- SMBExec : SMB рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рдкрд╛рд╕-рд╣реИрд╢ рд╣рдорд▓реЛрдВ рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ PowerShell рдЙрдкрдХрд░рдгред
- рдХреНрд╡рд╛рд░реНрдХреНрд╕ PwDump : рдПрдХ рд╡рд┐рдВрдбреЛрдЬрд╝ рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп рдЬреЛ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдирд┐рдХрд╛рд▓ рд╕рдХрддрд╛ рд╣реИред
- рдлрд╛рдпрд░рдорд╛рд╕реНрдЯрд░ : рд╡рд┐рдВрдбреЛрдЬ рдПрдЧреНрдЬреАрдХреНрдпреВрдЯреЗрдмрд▓ рдЬреЛ рдЖрдЙрдЯрд▓реБрдХ, рд╡реЗрдм рдмреНрд░рд╛рдЙрдЬрд░ рдЖрджрд┐ рд╕реЗ рд╕реЗрд╡ рдХрд┐рдП рдЧрдП рдкрд╛рд╕рд╡рд░реНрдб рдХреЛ рдирд┐рдХрд╛рд▓ рд╕рдХрддрд╛ рд╣реИ

рдирд┐рд╖реНрдХрд░реНрд╖


рдЕрджреНрдпрддрдиреЛрдВ рдХреА рд░рд┐рд▓реАрдЬрд╝ рд╕реЗ рдкрд╣рд▓реЗ рдХрдордЬреЛрд░рддрд╛ рдХрд╛ рдЦреБрд▓рд╛рд╕рд╛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдЬреЛрдЦрд┐рдо рдореЗрдВ рдбрд╛рд▓рддрд╛ рд╣реИред рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рд╡рд┐рдВрдбреЛрдЬ рдХреЗ рдирд╡реАрдирддрдо рд╕рдВрд╕реНрдХрд░рдг рд╕реЗ рднреА рд╕рдордЭреМрддрд╛ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред CERT-CC рд╕рдорд╕реНрдпрд╛ рдХреЗ рд▓рд┐рдП рдПрдХ рд╕рдорд╛рдзрд╛рди рдкреНрд░рд╕реНрддреБрдд рдХрд░рддрд╛ рд╣реИ, рдЬреЛ рд╣рд╛рд▓рд╛рдБрдХрд┐, Microsoft рджреНрд╡рд╛рд░рд╛ рдЖрдзрд┐рдХрд╛рд░рд┐рдХ рддреМрд░ рдкрд░ рд╕рд╣рдорддрд┐ рдирд╣реАрдВ рджреА рдЧрдИ рд╣реИред

рдкрд╛рд╡рд░рдкреВрд▓ рд╣рдорд▓рд╛ рд╕реАрдорд┐рдд рд╕рдВрдЦреНрдпрд╛ рдореЗрдВ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рд▓рдХреНрд╖рд┐рдд рдХрд░рддрд╛ рд╣реИред рд╣рд╛рд▓рд╛рдВрдХрд┐, рдШрдЯрдирд╛ рд╕реЗ рдкрддрд╛ рдЪрд▓рддрд╛ рд╣реИ рдХрд┐ рд╣рдорд▓рд╛рд╡рд░ рд╣рдореЗрд╢рд╛ рдЕрджреНрдпрддрд┐рдд рд╣реЛрддреЗ рд╣реИрдВ рдФрд░ рдЬрд▓реНрджреА рд╕реЗ рдирдП рдХрд╛рд░рдирд╛рдореЛрдВ рдХреЛ рд▓рд╛рдЧреВ рдХрд░рддреЗ рд╣реИрдВред

рдИрдПрд╕рдИрдЯреА рд╡рд┐рд╢реЗрд╖рдЬреНрдЮ рдирдИ рднреЗрджреНрдпрддрд╛ рдХреЗ рд╢реЛрд╖рдг рдХреА рдирд┐рдЧрд░рд╛рдиреА рдХрд░рдирд╛ рдЬрд╛рд░реА рд░рдЦрддреЗ рд╣реИрдВред GitHub рдкрд░ рд╕рдордЭреМрддрд╛ рд╕рдВрдХреЗрддрдХ рднреА рдЙрдкрд▓рдмреНрдз рд╣реИрдВред

рд╕рдВрдХреЗрддрдХ рд╕реЗ рд╕рдордЭреМрддрд╛ рдХрд░реЗрдВ


рд╣реИрд╢


рд╕реНрдЯреЗрдЬ рд╡рди рдмреИрдХрдбреЛрд░ (Win32 / Agent.SZS) 038f75dcf1e5277565c68d57fa1f4f7b3005f3f3
рд╕реНрдЯреЗрдЬ рд╡рди рдмреИрдХрдбреЛрд░ (Win32 / Agent.TCH) 247b542af23ad9c63697428c7b77348681aadc9a
рджреВрд╕рд░рд╛ рдЪрд░рдг рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ (Win32 / Agent.TIA) 0423672fe9201c325e33f296595fb70dcd81bcd9
рджреВрд╕рд░рд╛ рдЪрд░рдг рдкрд┐рдЫрд▓реЗ рджрд░рд╡рд╛рдЬреЗ (Win32 / Agent.TIA) b4ec4837d07ff64e34947296e73732171d1c1586
LPPC рд╢реЛрд╖рдг ALPC (Win64 / Exploit.Agent.H) 9dc173d4d4f74765b5fc1e1c9a2d188d5387beea

ESET рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдирд╛


- Win32 / Agent.SZS
- Win32 / Agent.TCH
- Win32 / Agent.TEL
- Win32 / Agent.THT
- Win32 / Agent.TDK
- Win32 / Agent.TIA
- Win32 / Agent.TID

C & C рд╕рд░реНрд╡рд░


- рд╕рдорд╛рдЪрд╛рд░ рд╕рдВрдмрдВрдзреА [ред] рдиреЗрдЯ
- рд░реЛрдЬрд╝рдмрд┐рдЬрдиреЗрд╕ [ред] рдпреВрдЖрдИ
- рдПрдлрд╝рд┐рд╢реЛрдирд▓рд╛рдЗрди [ред] рдпреВрдЖрдИ
- рдЦреЗрд▓-рдХрд▓реЗрдХреНрдЯрд░ [ред] рдХреЙрдо
- 27.102.106 [ред] 149

Source: https://habr.com/ru/post/hi422613/

More articles:


All Articles