Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Taidoor
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Taidoor
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Taidoor

Taidoor is a remote access trojan (RAT) that has been used by Chinese government cyber actors to maintain access on victim networks.(Citation: CISA MAR-10292089-1.v2 TAIDOOR August 2021) Taidoor has primarily been used against Taiwanese government organizations since at least 2010.(Citation: TrendMicro Taidoor)
ID: S0011
Type: MALWARE
Platforms: Windows
Version: 2.0
Created: 31 May 2017
Last Modified: 15 Oct 2021

Techniques Used
Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

Taidoor has used HTTP GET and POST requests for C2.(Citation: TrendMicro Taidoor)
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Taidoor has modified the HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run key for persistence.(Citation: TrendMicro Taidoor)
Enterprise T1059 .003 Command and Scripting Interpreter: Windows Command Shell

Taidoor can copy cmd.exe into the system temp folder.(Citation: CISA MAR-10292089-1.v2 TAIDOOR August 2021)
Enterprise T1573 .001 Encrypted Channel: Symmetric Cryptography

Taidoor uses RC4 to encrypt the message body of HTTP content.(Citation: TrendMicro Taidoor)(Citation: CISA MAR-10292089-1.v2 TAIDOOR August 2021)
Enterprise T1070 .004 Indicator Removal: File Deletion

Taidoor can use DeleteFileA to remove files from infected hosts.(Citation: CISA MAR-10292089-1.v2 TAIDOOR August 2021)
Enterprise T1566 .001 Phishing: Spearphishing Attachment

Taidoor has been delivered through spearphishing emails.(Citation: TrendMicro Taidoor)
Enterprise T1055 .001 Process Injection: Dynamic-link Library Injection

Taidoor can perform DLL loading.(Citation: TrendMicro Taidoor)(Citation: CISA MAR-10292089-1.v2 TAIDOOR August 2021)
Enterprise T1204 .002 User Execution: Malicious File

Taidoor has relied upon a victim to click on a malicious email attachment.(Citation: TrendMicro Taidoor)

References

  1. CISA, FBI, DOD. (2021, August). MAR-10292089-1.v2 – Chinese Remote Access Trojan: TAIDOOR. Retrieved August 24, 2021.
  2. Trend Micro. (2012). The Taidoor Campaign. Retrieved November 12, 2014.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.