Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

DEADWOOD

DEADWOOD is wiper malware written in C++ using Boost libraries. DEADWOOD was first observed in an unattributed wiping event in Saudi Arabia in 2019, and has since been incorporated into Agrius operations.(Citation: SentinelOne Agrius 2021)

ID: S1134

Type: MALWARE

Platforms: Windows

Created: 22 May 2024

Last Modified: 26 Aug 2024

Domain	ID		Name	Use
Techniques Used
Enterprise	T1561	.001	Disk Wipe: Disk Content Wipe	DEADWOOD deletes files following overwriting them with random data.(Citation: SentinelOne Agrius 2021)
		.002	Disk Wipe: Disk Structure Wipe	DEADWOOD opens and writes zeroes to the first 512 bytes of each drive, deleting the MBR. DEADWOOD then sends the control code `IOCTL_DISK_DELETE_DRIVE_LAYOUT` to ensure the MBR is removed from the drive.(Citation: SentinelOne Agrius 2021)
Enterprise	T1036	.004	Masquerading: Masquerade Task or Service	DEADWOOD will attempt to masquerade its service execution using benign-looking names such as `ScDeviceEnums`.(Citation: SentinelOne Agrius 2021)
Enterprise	T1027	.009	Obfuscated Files or Information: Embedded Payloads	DEADWOOD contains an embedded, AES-encrypted payload labeled `METADATA` that provides configuration information for follow-on execution.(Citation: SentinelOne Agrius 2021)
		.013	Obfuscated Files or Information: Encrypted/Encoded File	DEADWOOD contains an embedded, AES-encrypted resource named `METADATA` that contains configuration information for follow-on execution.(Citation: SentinelOne Agrius 2021)
Enterprise	T1569	.002	System Services: Service Execution	DEADWOOD can be executed as a service using various names, such as `ScDeviceEnums`.(Citation: SentinelOne Agrius 2021)

ID	Name	References
Groups That Use This Software
G0064	APT33	(Citation: RecordedFuture IranianResponse 2020)
G1030	Agrius	(Citation: SentinelOne Agrius 2021)

References

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

DEADWOOD

Techniques Used

Groups That Use This Software

References