Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Misdat
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Misdat
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Misdat

Misdat is a backdoor that was used in Operation Dust Storm from 2010 to 2011.(Citation: Cylance Dust Storm)
ID: S0083
Type: MALWARE
Platforms: Windows
Version: 1.2
Created: 31 May 2017
Last Modified: 30 Sep 2022

Techniques Used
Domain ID Name Use
Enterprise T1059 .003 Command and Scripting Interpreter: Windows Command Shell

Misdat is capable of providing shell functionality to the attacker to execute commands.(Citation: Cylance Dust Storm)
Enterprise T1132 .001 Data Encoding: Standard Encoding

Misdat network traffic is Base64-encoded plaintext.(Citation: Cylance Dust Storm)
Enterprise T1070 .004 Indicator Removal: File Deletion

Misdat is capable of deleting the backdoor file.(Citation: Cylance Dust Storm)
.006 Indicator Removal: Timestomp

Many Misdat samples were programmed using Borland Delphi, which will mangle the default PE compile timestamp of a file.(Citation: Cylance Dust Storm)

.009 Indicator Removal: Clear Persistence

Misdat is capable of deleting Registry keys used for persistence.(Citation: Cylance Dust Storm)

Enterprise T1036 .005 Masquerading: Match Legitimate Name or Location

Misdat saves itself as a file named `msdtc.exe`, which is also the name of the legitimate Microsoft Distributed Transaction Coordinator service binary.(Citation: Cylance Dust Storm)(Citation: Microsoft DTC)
Enterprise T1027 .002 Obfuscated Files or Information: Software Packing

Misdat was typically packed using UPX.(Citation: Cylance Dust Storm)
Enterprise T1614 .001 System Location Discovery: System Language Discovery

Misdat has attempted to detect if a compromised host had a Japanese keyboard via the Windows API call `GetKeyboardType`.(Citation: Cylance Dust Storm)

Groups That Use This Software
ID Name References

(Citation: Cylance Dust Storm)

G0031 Dust Storm

(Citation: Cylance Dust Storm)

References

  1. Gross, J. (2016, February 23). Operation Dust Storm. Retrieved September 19, 2017.
  2. Gross, J. (2016, February 23). Operation Dust Storm. Retrieved December 22, 2021.
  3. Microsoft. (2011, January 12). Distributed Transaction Coordinator. Retrieved February 25, 2016.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.