@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

KHRAT Malware と Fa??

8/31 に paloalto Unit 42 から下記レポートが出ています。

researchcenter.paloaltonetworks.com

自動起動の手口として、タスクスケジューラが利用されています。

オリジナルではタスクの登録名前が、「"f*** you" 」とかなり目立つ名前になっています。

タスクの登録名としてこの文字列が存在すれば、すぐに気が付きますよね?

ここでは「fa」としておきます。

 コマンドプロンプトから検証用にタスクを登録します。

f:id:hideakii:20170909151306p:plain

 Autorunsで確認します。

f:id:hideakii:20170909151438p:plain

 File not found:となりますが、Javascript の文字列も確認できる為、不審なエントリである事には気が付けるのではないでしょうか。

 

www.hybrid-analysis.com

f:id:hideakii:20170909150937j:plain