Аналіз WhisperGate. Частина 4 - Дебагінг stage2.exe в dnSpy. Підвищення привілеїв (тактика TA0004) скачать в хорошем качестве

Аналіз WhisperGate. Частина 4 - Дебагінг stage2.exe в dnSpy. Підвищення привілеїв (тактика TA0004)

Продовжуємо аналізувати WhisperGate (stage2). У новому епізоді №4 знаходимо техніку підвищення привілеїв із використанням ‘runas’ та ‘UseShellExecute’ для нового процесу, який вже буде запускати файловий витирач. Компонент «stage2.exe» кібератаки #WhisperGate — це програма .NET, яка містить підпис Microsoft Windows, ймовірно взятий із російської версії Windows Explorer відповідно до властивостей файлу. Він використовується для завантаження Stage3.dll з Discord CDN (hxxps://cdn.discordapp.com/attachments/928503440139771947/930108637681184768/Tbopbh.jpg). Також цей компонент зупиняє Windows Defender сервіс і запускає витирач файлів (File Corruptor) під виглядом легітимної утиліти InstallUtil.exe від Microsoft. Інструменти: FakeNet-NG - Next Generation Dynamic Network Analysis Tool https://github.com/mandiant/flare-fak... AdvancedRun https://www.nirsoft.net/utils/advance... Installutil.exe (Installer Tool) https://docs.microsoft.com/en-us/dotn... Канал в Телегрaмі: https://t.me/malwareanalysisinua In English: ​‪@MalwareResearchAcademy‬ #MalwareAnalysis