Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Dok
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Dok
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Dok

Dok is a Trojan application disguised as a .zip file that is able to collect user credentials and install a malicious proxy server to redirect a user's network traffic (i.e. Adversary-in-the-Middle).(Citation: objsee mac malware 2017)(Citation: hexed osx.dok analysis 2019)(Citation: CheckPoint Dok)
ID: S0281
Associated Software: Retefe
Type: MALWARE
Platforms: Windows
Version: 2.0
Created: 17 Oct 2018
Last Modified: 12 Oct 2021

Associated Software Descriptions
Name Description
Retefe (Citation: objsee mac malware 2017).

Techniques Used
Domain ID Name Use
Enterprise T1548 .003 Abuse Elevation Control Mechanism: Sudo and Sudo Caching

Dok adds admin ALL=(ALL) NOPASSWD: ALL to the /etc/sudoers file.(Citation: hexed osx.dok analysis 2019)
Enterprise T1547 .011 Boot or Logon Autostart Execution: Plist Modification

Dok persists via a plist login item.(Citation: objsee mac malware 2017)
.015 Boot or Logon Autostart Execution: Login Items

Dok uses AppleScript to install a login Item by sending Apple events to the System Events process.(Citation: hexed osx.dok analysis 2019)

Enterprise T1059 .002 Command and Scripting Interpreter: AppleScript

Dok uses AppleScript to create a login item for persistence.(Citation: objsee mac malware 2017)
Enterprise T1543 .001 Create or Modify System Process: Launch Agent

Dok installs two LaunchAgents to redirect all network traffic with a randomly generated name for each plist file maintaining the format com.random.name.plist.(Citation: objsee mac malware 2017)(Citation: CheckPoint Dok)
Enterprise T1048 .003 Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol

Dok exfiltrates logs of its execution stored in the /tmp folder over FTP using the curl command.(Citation: hexed osx.dok analysis 2019)

Enterprise T1222 .002 File and Directory Permissions Modification: Linux and Mac File and Directory Permissions Modification

Dok gives all users execute permissions for the application using the command chmod +x /Users/Shared/AppStore.app.(Citation: CheckPoint Dok)
Enterprise T1056 .002 Input Capture: GUI Input Capture

Dok prompts the user for credentials.(Citation: objsee mac malware 2017)
Enterprise T1027 .002 Obfuscated Files or Information: Software Packing

Dok is packed with an UPX executable packer.(Citation: hexed osx.dok analysis 2019)
Enterprise T1090 .003 Proxy: Multi-hop Proxy

Dok downloads and installs Tor via homebrew.(Citation: objsee mac malware 2017)
Enterprise T1553 .004 Subvert Trust Controls: Install Root Certificate

Dok installs a root certificate to aid in Adversary-in-the-Middle actions using the command add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain /tmp/filename.(Citation: objsee mac malware 2017)(Citation: hexed osx.dok analysis 2019)

References

  1. Patrick Wardle. (n.d.). Mac Malware of 2017. Retrieved September 21, 2018.
  2. fluffybunny. (2019, July 9). OSX.Dok Analysis. Retrieved October 4, 2021.
  3. Ofer Caspi. (2017, May 4). OSX Malware is Catching Up, and it wants to Read Your HTTPS Traffic. Retrieved October 5, 2021.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.