Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Comnie
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Comnie
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Comnie

Comnie is a remote backdoor which has been used in attacks in East Asia. (Citation: Palo Alto Comnie)
ID: S0244
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 17 Oct 2018
Last Modified: 30 Mar 2020

Techniques Used
Domain ID Name Use
Enterprise T1087 .001 Account Discovery: Local Account

Comnie uses the net user command.(Citation: Palo Alto Comnie)
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

Comnie uses HTTP for C2 communication.(Citation: Palo Alto Comnie)
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Comnie achieves persistence by adding a shortcut of itself to the startup path in the Registry.(Citation: Palo Alto Comnie)
.009 Boot or Logon Autostart Execution: Shortcut Modification

Comnie establishes persistence via a .lnk file in the victim’s startup path.(Citation: Palo Alto Comnie)

Enterprise T1059 .003 Command and Scripting Interpreter: Windows Command Shell

Comnie executes BAT scripts.(Citation: Palo Alto Comnie)
.005 Command and Scripting Interpreter: Visual Basic

Comnie executes VBS scripts.(Citation: Palo Alto Comnie)

Enterprise T1573 .001 Encrypted Channel: Symmetric Cryptography

Comnie encrypts command and control communications with RC4.(Citation: Palo Alto Comnie)
Enterprise T1027 .001 Obfuscated Files or Information: Binary Padding

Comnie appends a total of 64MB of garbage data to a file to deter any security products in place that may be scanning files on disk.(Citation: Palo Alto Comnie)
Enterprise T1518 .001 Software Discovery: Security Software Discovery

Comnie attempts to detect several anti-virus products.(Citation: Palo Alto Comnie)
Enterprise T1218 .011 System Binary Proxy Execution: Rundll32

Comnie uses Rundll32 to load a malicious DLL.(Citation: Palo Alto Comnie)
Enterprise T1102 .002 Web Service: Bidirectional Communication

Comnie uses blogs and third-party sites (GitHub, tumbler, and BlogSpot) to avoid DNS-based blocking of their communication to the command and control server.(Citation: Palo Alto Comnie)

References

  1. Grunzweig, J. (2018, January 31). Comnie Continues to Target Organizations in East Asia. Retrieved June 7, 2018.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.