Привет, Хабр! На связи команда UserGate, у нас новое исследование по кибербезопасности. В предыдущей статье мы восстанавливали удаленные журналы операционной системы Windows из оперативной памяти, в этот раз попытаемся расшифровать полезную нагрузку вредоносного программного обеспечения AgentTesla. Для декомпиляции образцов будем использовать dnSpy, но встроенным отладчиком пользоваться не будем. Для примера выбрали следующие образцы ВПО. Читать далее
Этой статьей мы завершаем цикл публикаций, посвященных анализу вредоносного программного обеспечения. В первой части мы провели детальный анализ зараженного файла, который получила по почте одна европейская компания, и обнаружили там шпионскую программу AgentTesla. Во второй…
Недавно я выпустил экспериментальный проект под названием «EmbedExeLnk» — этот инструмент генерировал файл .lnk, содержащий встроенную полезную нагрузку EXE. Я развил эту концепцию дальше и создал инструмент, который создаёт файл реестра Windows (.reg), содержащий полезную нагрузку EXE. Интересно? Подробности ниже. Читать далее
Недавно в Group-IB обратилась европейская компания-производитель электромонтажного оборудования — ее сотрудник получил по почте подозрительное письмо с вредоносным вложением. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, провел детальный анализ этого файла,