Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Downdelph

Downdelph is a first-stage downloader written in Delphi that has been used by APT28 in rare instances between 2013 and 2015. (Citation: ESET Sednit Part 3)

ID: S0134

Type: MALWARE

Platforms: Windows

Version: 1.2

Created: 31 May 2017

Last Modified: 30 Mar 2020

Domain	ID		Name	Use
Techniques Used
Enterprise	T1548	.002	Abuse Elevation Control Mechanism: Bypass User Account Control	Downdelph bypasses UAC to escalate privileges by using a custom “RedirectEXE” shim database.(Citation: ESET Sednit Part 3)
Enterprise	T1001	.001	Data Obfuscation: Junk Data	Downdelph inserts pseudo-random characters between each original character during encoding of C2 network requests, making it difficult to write signatures on them.(Citation: ESET Sednit Part 3)
Enterprise	T1573	.001	Encrypted Channel: Symmetric Cryptography	Downdelph uses RC4 to encrypt C2 responses.(Citation: ESET Sednit Part 3)
Enterprise	T1574	.001	Hijack Execution Flow: DLL Search Order Hijacking	Downdelph uses search order hijacking of the Windows executable sysprep.exe to escalate privileges.(Citation: ESET Sednit Part 3)

ID	Name	References
Groups That Use This Software
G0007	APT28	(Citation: ESET Sednit Part 3) (Citation: Secureworks IRON TWILIGHT Active Measures March 2017)

References

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Downdelph

Techniques Used

Groups That Use This Software

References