Часть 1: По следам создателя

Если что-то и привлекло мое внимание в этом вредоносном файле, так это загадочные строки, которые удалось извлечь из памяти процесса RuntimeBroker.exe после его полного исполнения.

---

Для начала мы снова откроем Process Hacker, инструмент, который я часто применяю для анализа активных процессов. Перейдём во вкладку "Memory" нашего зловреда.

---

Затем я выбрал опцию "Strings...", оставил настройки по умолчанию и нажал ОК. Этот процесс позволяет извлекать все текстовые строки, находящиеся в памяти процесса.

---

После этого я сохранил все найденные строки, используя кнопку "Save..." Это простой, но весьма мощный метод для выявления скрытых подсказок и дополнительной информации.

---

Тщательно проанализировав полученные данные, я выделил три особенно интересные строки

Эти строки оказались ссылками на GitHub, ведущими к предполагаемым модулям вредоносного ПО. Возможно, это необходимые библиотеки, которые малварь скачивает в случае их отсутствия на заражённой машине. Или, возможно, это строки, которые разработчик просто забыл удалить из кода:

• https://raw.githubusercontent.com/lanzerpub/libs3/main/1.dll

• https://raw.githubusercontent.com/lanzerpub/libs3/main/2.dll

• https://raw.githubusercontent.com/lanzerpub/libs3/main/3.dll

---

Однако, наш интерес здесь заключается не столько в самих DLL-файлах, сколько в никнейме lanzerpub. Я решил исследовать GitHub этого пользователя в надежде найти какую-нибудь зацепку.

---

Перейдя в профиль lanzerpub на GitHub, я увидел мало полезной информации — странный никнейм и фотографию с пивом. Несмотря на кажущуюся бесполезность, эта небольшая деталь станет важной зацепкой в нашем расследовании.