POSHSPY
Techniques Used |
||||
| Domain | ID | Name | Use | |
|---|---|---|---|---|
| Enterprise | T1059 | .001 | Command and Scripting Interpreter: PowerShell |
POSHSPY uses PowerShell to execute various commands, one to execute its payload.(Citation: FireEye POSHSPY April 2017) |
| Enterprise | T1568 | .002 | Dynamic Resolution: Domain Generation Algorithms |
POSHSPY uses a DGA to derive command and control URLs from a word list.(Citation: FireEye POSHSPY April 2017) |
| Enterprise | T1573 | .002 | Encrypted Channel: Asymmetric Cryptography |
POSHSPY encrypts C2 traffic with AES and RSA.(Citation: FireEye POSHSPY April 2017) |
| Enterprise | T1546 | .003 | Event Triggered Execution: Windows Management Instrumentation Event Subscription |
POSHSPY uses a WMI event subscription to establish persistence.(Citation: FireEye POSHSPY April 2017) |
| Enterprise | T1070 | .006 | Indicator Removal: Timestomp |
POSHSPY modifies timestamps of all downloaded executables to match a randomly selected file created prior to 2013.(Citation: FireEye POSHSPY April 2017) |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.