Билдер за $15: Кто стоит закулисами Celestial RAT?
  • Вступление
    • Сообщение в кофейне
    • Первый блин комом
  • Глубокий анализ
    • Часть 1: RuntimeDecryptor
    • Часть 2: Обход обнаружения
    • Часть 3: CelestialClient
  • Технический анализ
    • Часть 1: Анализ файлов
    • Часть 2: Анализ реестра
    • Часть 3: Загадочный PowerShell
    • Часть 4: Анализ сетевой активности
  • OSINT
    • Часть 1: По следам создателя
    • Часть 2: Выход на продавца
    • Часть 3: Причем тут читеры?
    • Часть 4: Установление личности
    • Часть 5: Социальная инженерия
  • Последний гвоздь в крышку гроба
  • Заключение
Powered by GitBook
On this page
  1. Технический анализ

Часть 3: Загадочный PowerShell

PreviousЧасть 2: Анализ реестраNextЧасть 4: Анализ сетевой активности

Last updated 10 months ago

Анализируя активность вируса в Process Hacker, я не обнаружил ничего особо выдающегося: запуск вируса, затем выполнение Example.vbs (тот самый антикиллер с бесконечным циклом). Однако, моё внимание привлекли необычные вызовы PowerShell, которые делал вредонос сразу же после запуска. У меня было достаточно времени, чтобы их проанализировать.

Первая команда: Set-MpPreference -DisableRealtimeMonitoring $true, которая отключает защиту в реальном времени встроенного антивируса Windows Microsoft Defender.

Следующая команда: Add-MpPreference -ExclusionPath C:\, добавляет корневую директорию в исключения антивируса Windows Microsoft Defender, что позволяет вредоносному ПО скрыться от сканирования.

И, наконец, последняя, но весьма примечательная команда:

Add-MpPreference -ExclusionProcess 'Example.exe',powershell.exe,Wscript.exe,cmd.exe,conhost.exe'

Эта команда добавляет в исключения не только процессы, которые могут быть использованы вредоносом для выполнения различных задач (powershell.exe, Wscript.exe, cmd.exe и conhost.exe), но и себя самого (Example.exe).