Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Revenge RAT
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Revenge RAT
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Revenge RAT

Revenge RAT is a freely available remote access tool written in .NET (C#).(Citation: Cylance Shaheen Nov 2018)(Citation: Cofense RevengeRAT Feb 2019)
ID: S0379
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 02 May 2019
Last Modified: 30 Mar 2020

Techniques Used
Domain ID Name Use
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Revenge RAT creates a Registry key at HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell to survive a system reboot.(Citation: Cylance Shaheen Nov 2018)
Enterprise T1059 .001 Command and Scripting Interpreter: PowerShell

Revenge RAT uses the PowerShell command Reflection.Assembly to load itself into memory to aid in execution.(Citation: Cofense RevengeRAT Feb 2019)
.003 Command and Scripting Interpreter: Windows Command Shell

Revenge RAT uses cmd.exe to execute commands and run scripts on the victim's machine.(Citation: Cofense RevengeRAT Feb 2019)

Enterprise T1132 .001 Data Encoding: Standard Encoding

Revenge RAT uses Base64 to encode information sent to the C2 server.(Citation: Cylance Shaheen Nov 2018)
Enterprise T1056 .001 Input Capture: Keylogging

Revenge RAT has a plugin for keylogging.(Citation: Cylance Shaheen Nov 2018)(Citation: Cofense RevengeRAT Feb 2019)
Enterprise T1021 .001 Remote Services: Remote Desktop Protocol

Revenge RAT has a plugin to perform RDP access.(Citation: Cylance Shaheen Nov 2018)

Enterprise T1053 .005 Scheduled Task/Job: Scheduled Task

Revenge RAT schedules tasks to run malicious scripts at different intervals.(Citation: Cofense RevengeRAT Feb 2019)
Enterprise T1218 .005 System Binary Proxy Execution: Mshta

Revenge RAT uses mshta.exe to run malicious scripts on the system.(Citation: Cofense RevengeRAT Feb 2019)
Enterprise T1102 .002 Web Service: Bidirectional Communication

Revenge RAT used blogpost.com as its primary command and control server during a campaign.(Citation: Cofense RevengeRAT Feb 2019)

Groups That Use This Software
ID Name References
G0089 The White Company

(Citation: Cylance Shaheen Nov 2018)

References

  1. Livelli, K, et al. (2018, November 12). Operation Shaheen. Retrieved May 1, 2019.
  2. Gannon, M. (2019, February 11). With Upgrades in Delivery and Support Infrastructure, Revenge RAT Malware is a Bigger Threat. Retrieved May 1, 2019.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.