Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Derusbi

Derusbi is malware used by multiple Chinese APT groups.(Citation: Novetta-Axiom)(Citation: ThreatConnect Anthem) Both Windows and Linux variants have been observed.(Citation: Fidelis Turbo)
ID: S0021
Associated Software: PHOTO
Type: MALWARE
Platforms: Windows
Version: 1.2
Created: 31 May 2017
Last Modified: 20 Mar 2023

Associated Software Descriptions

Name Description
PHOTO (Citation: FireEye Periscope March 2018)

Techniques Used

Domain ID Name Use
Enterprise T1059 .004 Command and Scripting Interpreter: Unix Shell

Derusbi is capable of creating a remote Bash shell and executing commands.(Citation: Fidelis Turbo)(Citation: FireEye Periscope March 2018)

Enterprise T1573 .001 Encrypted Channel: Symmetric Cryptography

Derusbi obfuscates C2 traffic with variable 4-byte XOR keys.(Citation: Fidelis Turbo)

Enterprise T1070 .004 Indicator Removal: File Deletion

Derusbi is capable of deleting files. It has been observed loading a Linux Kernel Module (LKM) and then deleting it from the hard disk as well as overwriting the data with null bytes.(Citation: Fidelis Turbo)(Citation: FireEye Periscope March 2018)

.006 Indicator Removal: Timestomp

The Derusbi malware supports timestomping.(Citation: Novetta-Axiom)(Citation: Fidelis Turbo)

Enterprise T1056 .001 Input Capture: Keylogging

Derusbi is capable of logging keystrokes.(Citation: FireEye Periscope March 2018)

Enterprise T1055 .001 Process Injection: Dynamic-link Library Injection

Derusbi injects itself into the secure shell (SSH) process.(Citation: Airbus Derusbi 2015)

Enterprise T1218 .010 System Binary Proxy Execution: Regsvr32

Derusbi variants have been seen that use Registry persistence to proxy execution through regsvr32.exe.(Citation: ThreatGeek Derusbi Converge)

Groups That Use This Software

ID Name References
G0065 Leviathan

(Citation: FireEye Periscope March 2018) (Citation: CISA AA21-200A APT40 July 2021)

G0009 Deep Panda

(Citation: ThreatConnect Anthem)

G0001 Axiom

(Citation: Cisco Group 72) (Citation: Novetta-Axiom)

G0096 APT41

(Citation: FireEye APT41 Aug 2019)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.