Билдер за $15: Кто стоит закулисами Celestial RAT?
  • Вступление
    • Сообщение в кофейне
    • Первый блин комом
  • Глубокий анализ
    • Часть 1: RuntimeDecryptor
    • Часть 2: Обход обнаружения
    • Часть 3: CelestialClient
  • Технический анализ
    • Часть 1: Анализ файлов
    • Часть 2: Анализ реестра
    • Часть 3: Загадочный PowerShell
    • Часть 4: Анализ сетевой активности
  • OSINT
    • Часть 1: По следам создателя
    • Часть 2: Выход на продавца
    • Часть 3: Причем тут читеры?
    • Часть 4: Установление личности
    • Часть 5: Социальная инженерия
  • Последний гвоздь в крышку гроба
  • Заключение
Powered by GitBook
On this page
  1. Вступление

Первый блин комом

PreviousСообщение в кофейнеNextГлубокий анализ

Last updated 10 months ago

При исследовании очередной малвари, я решил действовать по стандартному протоколу.

Первым делом я подготовил систему: сделал снапшот, запустил инструменты (Procmon, Process Hacker и Fiddler), после чего попробовал запустить файл.

Неожиданно для меня, прошёл интересный сетевой запрос по адресу: , но ничего большего я не увидел...

Почему же так вышло?! Я ведь был уверен, что защитил виртуальную машину от обнаружения: переименовал процессы, окна программ, включил всевозможные защиты. Но несмотря на все мои усилия, вредоносное ПО отказалось запускаться. Весьма загадочно.

На этом этапе стало очевидно, что проблема кроется в самой виртуальной машине.

https://ip-api.com/line/?fields=hosting