Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

PyDCrypt

PyDCrypt is malware written in Python designed to deliver DCSrv. It has been used by Moses Staff since at least September 2021, with each sample tailored for its intended victim organization.(Citation: Checkpoint MosesStaff Nov 2021)
ID: S1032
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 11 Aug 2022
Last Modified: 11 Apr 2024

Techniques Used

Domain ID Name Use
Enterprise T1059 .001 Command and Scripting Interpreter: PowerShell

PyDCrypt has attempted to execute with PowerShell.(Citation: Checkpoint MosesStaff Nov 2021)

.003 Command and Scripting Interpreter: Windows Command Shell

PyDCrypt has used `cmd.exe` for execution.(Citation: Checkpoint MosesStaff Nov 2021)

.006 Command and Scripting Interpreter: Python

PyDCrypt, along with its functions, is written in Python.(Citation: Checkpoint MosesStaff Nov 2021)

Enterprise T1562 .004 Impair Defenses: Disable or Modify System Firewall

PyDCrypt has modified firewall rules to allow incoming SMB, NetBIOS, and RPC connections using `netsh.exe` on remote machines.(Citation: Checkpoint MosesStaff Nov 2021)

Enterprise T1070 .004 Indicator Removal: File Deletion

PyDCrypt will remove all created artifacts such as dropped executables.(Citation: Checkpoint MosesStaff Nov 2021)

Enterprise T1036 .005 Masquerading: Match Legitimate Name or Location

PyDCrypt has dropped DCSrv under the `svchost.exe` name to disk.(Citation: Checkpoint MosesStaff Nov 2021)

Enterprise T1027 .013 Obfuscated Files or Information: Encrypted/Encoded File

PyDCrypt has been compiled and encrypted with PyInstaller, specifically using the --key flag during the build phase.(Citation: Checkpoint MosesStaff Nov 2021)

Groups That Use This Software

ID Name References
G1009 Moses Staff

(Citation: Checkpoint MosesStaff Nov 2021)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.