SMBWorm
SMB-червь с боковым перемещением. NetShareEnum + WNetGetConnectionW для перечисления общих ресурсов SMB. IcmpSendEcho для обнаружения сетевых узлов. CryptStringToBinaryA для декодирования адреса Base64 C2. Обход CoGetObject COM UAC. Энтропия 7,99 максимальная упаковка.
Профиль угрозы
Тип
Botnet
Язык программированияC
C2 ПротоколTCP/SMB
Первое обнаружение2023
Цели
Küresel
Назначение / Возможности
- Боковое движение/червяк
Для этого семейства пока не обнаружено C2-серверов.
Исследовательские отчёты (1)
SMBWorm LBB_pass.bin -- NetShareEnum WNetGetConnectionW SMB Ag Paylasim Yayilma, IcmpSendEcho ICMP Ag Kesfi, CryptStringToBinaryA Base64 C2 Adres Decode, Entropi 7.99 Maksimum Paketleme, CoGetObject COM UAC Bypass | Kritik
SMBWorm LBB_pass.bin PE32 x86. NetShareEnum WNetGetConnectionW SMB ag paylasim yayilma. IcmpSendEcho ICMP ag kesfi. CryptStringToBinaryA Base64 C2 decode. Entropi 7.99 maksimum paketleme. CoGetObject COM UAC bypass.
Читать отчёт →