Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент LookBack
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
LookBack
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

LookBack

LookBack is a remote access trojan written in C++ that was used against at least three US utility companies in July 2019. The TALONITE activity group has been observed using LookBack.(Citation: Proofpoint LookBack Malware Aug 2019)(Citation: Dragos TALONITE)(Citation: Dragos Threat Report 2020)
ID: S0582
Type: MALWARE
Platforms: Windows
Version: 1.0
Created: 01 Mar 2021
Last Modified: 26 Apr 2021

Techniques Used
Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

LookBack’s C2 proxy tool sends data to a C2 server over HTTP.(Citation: Proofpoint LookBack Malware Aug 2019)
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

LookBack sets up a Registry Run key to establish a persistence mechanism.(Citation: Proofpoint LookBack Malware Aug 2019)
Enterprise T1059 .003 Command and Scripting Interpreter: Windows Command Shell

LookBack executes the cmd.exe command.(Citation: Proofpoint LookBack Malware Aug 2019)
.005 Command and Scripting Interpreter: Visual Basic

LookBack has used VBA macros in Microsoft Word attachments to drop additional files to the host.(Citation: Proofpoint LookBack Malware Aug 2019)

Enterprise T1573 .001 Encrypted Channel: Symmetric Cryptography

LookBack uses a modified version of RC4 for data transfer.(Citation: Proofpoint LookBack Malware Aug 2019)
Enterprise T1574 .002 Hijack Execution Flow: DLL Side-Loading

LookBack side loads its communications module as a DLL into the libcurl.dll loader.(Citation: Proofpoint LookBack Malware Aug 2019)
Enterprise T1070 .004 Indicator Removal: File Deletion

LookBack removes itself after execution and can delete files on the system.(Citation: Proofpoint LookBack Malware Aug 2019)
Enterprise T1036 .005 Masquerading: Match Legitimate Name or Location

LookBack has a C2 proxy tool that masquerades as GUP.exe, which is software used by Notepad++.(Citation: Proofpoint LookBack Malware Aug 2019)

References

  1. Raggi, M. Schwarz, D.. (2019, August 1). LookBack Malware Targets the United States Utilities Sector with Phishing Attacks Impersonating Engineering Licensing Boards. Retrieved February 25, 2021.
  2. Dragos. (null). TALONITE. Retrieved February 25, 2021.
  3. Dragos. (n.d.). ICS Cybersecurity Year in Review 2020. Retrieved February 25, 2021.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.