Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент FELIXROOT
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
FELIXROOT
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

FELIXROOT

FELIXROOT is a backdoor that has been used to target Ukrainian victims. (Citation: FireEye FELIXROOT July 2018)
ID: S0267
Associated Software: GreyEnergy mini
Type: MALWARE
Platforms: Windows
Version: 2.1
Created: 17 Oct 2018
Last Modified: 30 Mar 2020

Associated Software Descriptions
Name Description
GreyEnergy mini (Citation: ESET GreyEnergy Oct 2018)

Techniques Used
Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

FELIXROOT uses HTTP and HTTPS to communicate with the C2 server.(Citation: FireEye FELIXROOT July 2018)(Citation: ESET GreyEnergy Oct 2018)
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

FELIXROOT adds a shortcut file to the startup folder for persistence.(Citation: ESET GreyEnergy Oct 2018)
.009 Boot or Logon Autostart Execution: Shortcut Modification

FELIXROOT creates a .LNK file for persistence.(Citation: ESET GreyEnergy Oct 2018)

Enterprise T1059 .003 Command and Scripting Interpreter: Windows Command Shell

FELIXROOT executes batch scripts on the victim’s machine, and can launch a reverse shell for command execution.(Citation: FireEye FELIXROOT July 2018)(Citation: ESET GreyEnergy Oct 2018)
Enterprise T1070 .004 Indicator Removal: File Deletion

FELIXROOT deletes the .LNK file from the startup directory as well as the dropper components.(Citation: FireEye FELIXROOT July 2018)
Enterprise T1518 .001 Software Discovery: Security Software Discovery

FELIXROOT checks for installed security software like antivirus and firewall.(Citation: ESET GreyEnergy Oct 2018)
Enterprise T1218 .011 System Binary Proxy Execution: Rundll32

FELIXROOT uses Rundll32 for executing the dropper program.(Citation: FireEye FELIXROOT July 2018)(Citation: ESET GreyEnergy Oct 2018)

References

  1. Patil, S. (2018, June 26). Microsoft Office Vulnerabilities Used to Distribute FELIXROOT Backdoor in Recent Campaign. Retrieved July 31, 2018.
  2. Cherepanov, A. (2018, October). GREYENERGY A successor to BlackEnergy. Retrieved November 15, 2018.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.