Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

GRIFFON

GRIFFON is a JavaScript backdoor used by FIN7. (Citation: SecureList Griffon May 2019)
ID: S0417
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 11 Oct 2019
Last Modified: 23 Jun 2020

Techniques Used

Domain ID Name Use
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

GRIFFON has used a persistence module that stores the implant inside the Registry, which executes at logon.(Citation: SecureList Griffon May 2019)

Enterprise T1059 .001 Command and Scripting Interpreter: PowerShell

GRIFFON has used PowerShell to execute the Meterpreter downloader TinyMet.(Citation: SecureList Griffon May 2019)

.007 Command and Scripting Interpreter: JavaScript

GRIFFON is written in and executed as JavaScript.(Citation: SecureList Griffon May 2019)

Enterprise T1069 .002 Permission Groups Discovery: Domain Groups

GRIFFON has used a reconnaissance module that can be used to retrieve Windows domain membership information.(Citation: SecureList Griffon May 2019)

Enterprise T1053 .005 Scheduled Task/Job: Scheduled Task

GRIFFON has used sctasks for persistence. (Citation: SecureList Griffon May 2019)

Groups That Use This Software

ID Name References
G0046 FIN7

(Citation: CrowdStrike Carbon Spider August 2021) (Citation: Microsoft Ransomware as a Service) (Citation: SecureList Griffon May 2019) (Citation: FBI Flash FIN7 USB)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.