Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Waterbear
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Waterbear
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Waterbear

Waterbear is modular malware attributed to BlackTech that has been used primarily for lateral movement, decrypting, and triggering payloads and is capable of hiding network behaviors.(Citation: Trend Micro Waterbear December 2019)
ID: S0579
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 22 Feb 2021
Last Modified: 25 Mar 2022

Techniques Used
Domain ID Name Use
Enterprise T1574 .002 Hijack Execution Flow: DLL Side-Loading

Waterbear has used DLL side loading to import and load a malicious DLL loader.(Citation: Trend Micro Waterbear December 2019)

Enterprise T1562 .006 Impair Defenses: Indicator Blocking

Waterbear can hook the ZwOpenProcess and GetExtendedTcpTable APIs called by the process of a security product to hide PIDs and TCP records from detection.(Citation: Trend Micro Waterbear December 2019)
Enterprise T1027 .005 Obfuscated Files or Information: Indicator Removal from Tools

Waterbear can scramble functions not to be executed again with random values.(Citation: Trend Micro Waterbear December 2019)
Enterprise T1055 .003 Process Injection: Thread Execution Hijacking

Waterbear can use thread injection to inject shellcode into the process of security software.(Citation: Trend Micro Waterbear December 2019)
Enterprise T1518 .001 Software Discovery: Security Software Discovery

Waterbear can find the presence of a specific security software.(Citation: Trend Micro Waterbear December 2019)

Groups That Use This Software
ID Name References
G0098 BlackTech

(Citation: Trend Micro Waterbear December 2019)

References

  1. Su, V. et al. (2019, December 11). Waterbear Returns, Uses API Hooking to Evade Security. Retrieved February 22, 2021.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.