स्टील्थ फाल्कन डेडग्लिफ़ के साथ मध्य पूर्वी आसमान पर शिकार कर रहा है

वर्षों से, मध्य पूर्व ने उन्नत लगातार खतरों (एपीटी) के लिए उपजाऊ भूमि के रूप में अपनी प्रतिष्ठा बनाए रखी है। इस क्षेत्र में स्थित कुछ हाई-प्रोफाइल ग्राहकों के सिस्टम पर संदिग्ध गतिविधियों की नियमित निगरानी के बीच, ईएसईटी रिसर्च एक बहुत ही परिष्कृत और अज्ञात पिछले दरवाजे पर ठोकर खाई, जिसे हमने डेडग्लिफ नाम दिया है। हमने यह नाम पिछले दरवाजे में पाई गई कलाकृतियों से लिया है (जैसे कि 0xमृतB001, में भी दिखाया गया है REF _Ref111452440 घंटे तालिका 1
), एक होमो की उपस्थिति के साथ युग्मितग्लिफ़ आक्रमण करना। हमारी सर्वोत्तम जानकारी के अनुसार, यह पहले से अप्रलेखित पिछले दरवाजे का पहला सार्वजनिक विश्लेषण है, जिसका उपयोग एक ऐसे समूह द्वारा किया जाता है जो उल्लेखनीय स्तर की परिष्कार और विशेषज्ञता प्रदर्शित करता है। लक्ष्यीकरण और अतिरिक्त सबूतों के आधार पर, हम उच्च विश्वास के साथ डेडग्लिफ़ का श्रेय स्टेल्थ फाल्कन एपीटी समूह को देते हैं।

डेडग्लिफ़ की वास्तुकला असामान्य है क्योंकि इसमें शामिल हैं सहयोगी घटक - एक देशी x64 बाइनरी, दूसरा .NET असेंबली। यह संयोजन असामान्य है क्योंकि मैलवेयर आमतौर पर अपने घटकों के लिए केवल एक प्रोग्रामिंग भाषा का उपयोग करता है। यह अंतर उन दो घटकों के अलग-अलग विकास का संकेत दे सकता है, साथ ही उनके द्वारा उपयोग की जाने वाली विशिष्ट प्रोग्रामिंग भाषाओं की अनूठी विशेषताओं का लाभ भी उठा सकता है। विश्लेषण में बाधा डालने के लिए अलग-अलग भाषा का भी उपयोग किया जा सकता है, क्योंकि मिश्रित कोड को नेविगेट करना और डीबग करना अधिक कठिन होता है।

पारंपरिक बैकडोर कमांड को बैकडोर बाइनरी में लागू नहीं किया जाता है; इसके बजाय, वे अतिरिक्त मॉड्यूल के रूप में कमांड और कंट्रोल (सी एंड सी) सर्वर से गतिशील रूप से प्राप्त होते हैं। इस पिछले दरवाजे में पहचाने जाने से बचने के लिए कई क्षमताएं भी हैं।

इस ब्लॉगपोस्ट में, हम डेडग्लिफ़ पर करीब से नज़र डालते हैं और इस पिछले दरवाजे, इसके उद्देश्य और हमारे द्वारा प्राप्त कुछ अतिरिक्त घटकों का तकनीकी विश्लेषण प्रदान करते हैं। हम डेडग्लिफ़ के बारे में अपने निष्कर्ष भी प्रस्तुत कर रहे हैं लैब्सकॉन 2023 सम्मेलन।

ब्लॉगपोस्ट के मुख्य बिंदु:

• ईएसईटी रिसर्च ने असामान्य वास्तुकला के साथ एक परिष्कृत पिछले दरवाजे की खोज की है जिसे हमने डेडग्लिफ नाम दिया है।
• मुख्य घटकों को मशीन-विशिष्ट कुंजी का उपयोग करके एन्क्रिप्ट किया जाता है।
• पारंपरिक बैकडोर कमांड को इसके C&C सर्वर से प्राप्त अतिरिक्त मॉड्यूल के माध्यम से कार्यान्वित किया जाता है।
• हमें कई मॉड्यूलों में से तीन मिले - प्रक्रिया निर्माता, फ़ाइल रीडर, और सूचना संग्राहक।
• हम डेडग्लिफ़ का श्रेय स्टेल्थ फाल्कन समूह को देते हैं।
• इसके अतिरिक्त, हमें एक संबंधित शेलकोड डाउनलोडर मिला; हमारा अनुमान है कि इसका उपयोग संभावित रूप से डेडग्लिफ़ की स्थापना के लिए किया जा सकता है।

विश्लेषित घुसपैठ का शिकार मध्य पूर्व में एक सरकारी इकाई है जिसके साथ जासूसी उद्देश्यों के लिए समझौता किया गया था। वायरसटोटल पर पाया गया एक संबंधित नमूना इस क्षेत्र से, विशेष रूप से कतर से फ़ाइल-स्कैनिंग प्लेटफ़ॉर्म पर भी अपलोड किया गया था। लक्षित क्षेत्र को मानचित्र पर दर्शाया गया है REF _Ref143614671 घंटे आकृति 1
.

स्टील्थ फाल्कन (जिसे प्रोजेक्ट रेवेन या फ्रूटीआर्मर के नाम से भी जाना जाता है) संयुक्त अरब अमीरात से जुड़ा एक खतरा समूह है MITER . के अनुसार. 2012 से सक्रिय, स्टील्थ फाल्कन मध्य पूर्व में राजनीतिक कार्यकर्ताओं, पत्रकारों और असंतुष्टों को निशाना बनाने के लिए जाना जाता है। इसकी सबसे पहले खोज और वर्णन किसके द्वारा किया गया था? नागरिक लैब, जिसने एक प्रकाशित किया विश्लेषण 2016 में स्पाइवेयर हमलों के एक अभियान का।

जनवरी 2019 में, रॉयटर्स ने एक प्रकाशित किया खोजी रिपोर्ट प्रोजेक्ट रेवेन पर, एक पहल जो कथित तौर पर पूर्व एनएसए कार्यकर्ताओं को नियोजित करती है और स्टील्थ फाल्कन के समान प्रकार के लक्ष्यों को लक्षित करती है। समान लक्ष्यों और हमलों का जिक्र करने वाली इन दो रिपोर्टों के आधार पर, एमनेस्टी इंटरनेशनल निष्कर्ष निकाला है (में दिखाया गया है REF _Ref144978712 घंटे आकृति 2
) कि स्टील्थ फाल्कन और प्रोजेक्ट रेवेन वास्तव में एक ही समूह हैं।

सितंबर 2019 में, हम प्रकाशित अनुसंधान पिछले दरवाजे पर, जिसका श्रेय स्टेल्थ फाल्कन को जाता है, जिसमें एक असामान्य तकनीक का उपयोग किया गया था, पृष्ठभूमि इंटेलिजेंट स्थानांतरण सेवा, सी एंड सी संचार के लिए। अब हम अपने गहन विश्लेषण के परिणाम का खुलासा करते हैं कि संभवतः स्टील्थ फाल्कन के जासूसी टूलसेट में सबसे नया जोड़ क्या है।

डेडग्लिफ़ बैकडोर

डेडग्लिफ़ की लोडिंग श्रृंखला में कई घटक होते हैं, जैसा कि इसमें दिखाया गया है REF _Ref144978760 घंटे आकृति 3
. प्रारंभिक घटक एक रजिस्ट्री शेलकोड लोडर है, जो रजिस्ट्री से शेलकोड लोड करता है। यह निकाला गया शेलकोड, बदले में, पिछले दरवाजे के मूल x64 भाग - एक्ज़ीक्यूटर को लोड करता है। निष्पादक बाद में पिछले दरवाजे के .NET भाग - ऑर्केस्ट्रेटर को लोड करता है। विशेष रूप से, फ़ाइल के रूप में सिस्टम की डिस्क पर एकमात्र घटक प्रारंभिक घटक है, जो डायनेमिक लिंक लाइब्रेरी (डीएलएल) के रूप में है। शेष घटकों को एन्क्रिप्ट किया गया है और बाइनरी रजिस्ट्री मान के भीतर संग्रहीत किया गया है।

हालाँकि प्रारंभिक समझौता वेक्टर की सटीक विधि अभी तक निर्धारित नहीं हुई है, हमारा संदेह यह है कि एक इंस्टॉलर घटक आगे के घटकों को तैनात करने और सिस्टम के भीतर दृढ़ता स्थापित करने में शामिल है।

इस अनुभाग के शेष भाग में, हम प्रत्येक घटक का विश्लेषण करते हैं।

रजिस्ट्री शेलकोड लोडर

डेडग्लिफ़ का प्रारंभिक घटक एकल निर्यात के साथ एक छोटा डीएलएल है, जिसे नाम दिया गया है 1. इस घटक का उपयोग जारी है विंडोज़ मैनेजमेंट इंस्ट्रुमेंटेशन (WMI) इवेंट सदस्यता और रजिस्ट्री शेलकोड लोडर के रूप में कार्य करता है। इसे कमांड लाइन के माध्यम से निष्पादित किया जाता है rundll32 C:WINDOWSSystem32pbrtl.dll,#1.

रजिस्ट्री शेलकोड लोडर RC4 का उपयोग करके विंडोज रजिस्ट्री के भीतर संग्रहीत एन्क्रिप्टेड शेलकोड के पथ को डिक्रिप्ट करके अपना संचालन शुरू करता है। हमें संदेह है कि प्रत्येक पीड़ित के लिए पथ अद्वितीय है; यहां विश्लेषण किए गए मामले में, रजिस्ट्री पथ था:

SoftwareClassesCLSID{5abc7f42-1112-5099-b082-ce8d65ba0c47}cAbRGHLg

रूट रजिस्ट्री कुंजी या तो है एचकेएलएम or एचकेयू, यह इस पर निर्भर करता है कि वर्तमान प्रक्रिया उन्नत विशेषाधिकारों के साथ चल रही है या नहीं। यही तर्क आगे के घटकों में भी पाया जा सकता है।

इसके बाद, लोडर सिस्टम से प्राप्त UUID का उपयोग करके एक मशीन-विशिष्ट RC4 कुंजी प्राप्त करता है कच्ची SMBIOS फ़र्मवेयर तालिका. इस कुंजी का उपयोग करके, यह शेलकोड को लोड, डिक्रिप्ट और फिर निष्पादित करता है। यह उजागर करना महत्वपूर्ण है कि यह कुंजी व्युत्पत्ति दृष्टिकोण यह सुनिश्चित करता है कि यदि लोडर किसी भिन्न कंप्यूटर पर निष्पादित होता है तो उचित डिक्रिप्शन नहीं होगा।

दिलचस्प बात यह है कि लोडर को इसके ध्वज द्वारा भी कॉन्फ़िगर किया जा सकता है .data मशीन-विशिष्ट के बजाय शेलकोड को डिक्रिप्ट करने के लिए हार्डकोडेड कुंजी का उपयोग करने के लिए अनुभाग।

हमने इसमें Microsoft Corporation की नकल करते हुए एक होमोग्लिफ़ हमला देखा संस्करण की जानकारी इस और अन्य पीई घटकों का संसाधन। यह विधि विशिष्ट यूनिकोड वर्णों को नियोजित करती है जो देखने में समान दिखाई देते हैं, लेकिन इस मामले में मूल वर्णों के समान नहीं हैं, विशेष रूप से ग्रीक कैपिटल लेटर सैन (U+03FA, Ϻ) और सिरिलिक स्मॉल लेटर O (U+043E, о) Ϻआईसीआरоsоफ़ुट कार्पोरेशनоरतिоn.

रजिस्ट्री शेलकोड

दो भागों से बनी, रजिस्ट्री शेलकोड में एक डिक्रिप्शन रूटीन और एक एन्क्रिप्टेड बॉडी होती है। सबसे पहले, डिक्रिप्शन रूटीन एन्क्रिप्टेड बॉडी के प्रत्येक बाइट को बाईं ओर एक-एक करके घुमाता है (आरओएल 0x01). इसके बाद, नियंत्रण इस डिक्रिप्टेड बॉडी में स्थानांतरित कर दिया जाता है। डिक्रिप्टेड बॉडी में एक पीई लोडर और एक पीई फ़ाइल होती है, बाद वाला एक्ज़ीक्यूटर होता है, जो पिछले दरवाजे के मूल भाग का प्रतिनिधित्व करता है। यह लोडर संबंधित पीई फ़ाइल को पार्स करने और लोड करने के लिए ज़िम्मेदार है।

निर्वाहक

एक्ज़िक्यूटर डेडग्लिफ़ बैकडोर का मूल x64 भाग है, जो निम्नलिखित कार्य करता है:

• इसका कॉन्फ़िगरेशन लोड करता है,
• .NET रनटाइम प्रारंभ करता है,
• पिछले दरवाजे (ऑर्केस्ट्रेटर) के एम्बेडेड .NET भाग को लोड करता है, और
• ऑर्केस्ट्रेटर के लिए एक पुस्तकालय के रूप में कार्य करता है।

सबसे पहले, दो डिफ़ॉल्ट कॉन्फ़िगरेशन एम्बेडेड हैं .data अनुभाग एईएस-डिक्रिप्टेड हैं। कॉन्फ़िगरेशन में एन्क्रिप्शन कुंजी, सुरक्षा और चोरी सेटिंग्स और बाद के घटक के प्रवेश बिंदु सहित विभिन्न पैरामीटर शामिल हैं।

प्रारंभिक निष्पादन के दौरान, उन दो डिफ़ॉल्ट कॉन्फ़िगरेशन को विंडोज रजिस्ट्री के भीतर संग्रहीत किया जाता है, जहां से उन्हें बाद के रन पर लोड किया जाता है, जिससे अपडेट के कार्यान्वयन को सक्षम किया जाता है। प्रत्येक कॉन्फ़िगरेशन के लिए रजिस्ट्री पथ निम्न प्रारूप के साथ उत्पन्न होता है:

{HKCU|HKLM}सॉफ़्टवेयरक्लासेसCLSID{ }(गलती करना)

एक जेनरेटेड GUID है, जो प्रत्येक पीड़ित के लिए अद्वितीय है।

इसके बाद, .NET रनटाइम आरंभ किया जाता है, फिर एक्ज़ीक्यूटर RC4 पिछले दरवाजे के .NET भाग को डिक्रिप्ट करता है जिसे ऑर्केस्ट्रेटर के रूप में जाना जाता है। ऑर्केस्ट्रेटर के भीतर स्थित है .आरएसआरसी निष्पादक का अनुभाग. कॉन्फ़िगरेशन ऑर्केस्ट्रेटर की निष्पादन विधि को एक प्रवेश बिंदु के रूप में निर्दिष्ट करता है। इसके अलावा, ऑर्केस्ट्रेटर द्वारा निष्पादक के कार्यों की पहुंच को सुविधाजनक बनाने के लिए एक अलग संरचना प्रदान की जाती है।

ऑर्केस्ट्रेटर लॉन्च करने के बाद, एक्ज़ीक्यूटर ऑर्केस्ट्रेटर के लिए एक सपोर्ट लाइब्रेरी के रूप में कार्य करता है। निष्पादक में कई दिलचस्प कार्य शामिल हैं; ऑर्केस्ट्रेटर और आगे लोड किए गए मॉड्यूल द्वारा उनके उपयोग के संदर्भ में, हम निम्नलिखित अनुभाग में उनमें से कुछ का वर्णन करते हैं।

वाद्यवृंदकार

.NET में लिखा गया, ऑर्केस्ट्रेटर डेडग्लिफ़ बैकडोर का मुख्य घटक है। इस घटक की प्राथमिक भूमिका में सी एंड सी सर्वर के साथ संचार स्थापित करना और कमांड निष्पादित करना शामिल है, जिसे अक्सर निष्पादक की मध्यस्थ भूमिका के माध्यम से सुविधाजनक बनाया जाता है। पिछले घटकों के विपरीत, ऑर्केस्ट्रेटर .NET रिएक्टर को नियोजित करके अस्पष्ट है। आंतरिक रूप से पिछले दरवाजे को कहा जाता है एजेंट, जो विभिन्न शोषण-पश्चात ढांचों में ग्राहक भाग के लिए एक सामान्य नाम है।

आरंभीकरण

ऑर्केस्ट्रेटर पहले अपने कॉन्फ़िगरेशन और दो एम्बेडेड मॉड्यूल को संसाधनों से लोड करता है, प्रत्येक के साथ कॉन्फ़िगरेशन का अपना सेट होता है। ये संसाधन हैं हवा निकालना संपीड़ित और एईएस कूट रूप दिया गया। उन्हें एक आईडी द्वारा संदर्भित किया जाता है जिसे संसाधन नाम में SHA-1 हैश किया गया है। इन संसाधनों का एक सिंहावलोकन इसमें प्रदान किया गया है REF _Ref111452440 घंटे तालिका 1
.

तालिका 1. ऑर्केस्ट्रेटर संसाधन

संसाधन का नाम	आईडी (दशमलव)	आईडी (हेक्स)	Description
43ed9a3ad74ed7ab74c345a876b6be19039d4c8c	2570286865	0x99337711	ऑर्केस्ट्रेटर विन्यास.
3a215912708eab6f56af953d748fbfc38e3bb468	3740250113	0xDEEFB001	नेटवर्क मॉड्यूल.
42fb165bc9cf614996027a9fcb261d65fd513527	3740250369	0xDEEFB101	नेटवर्क मॉड्यूल कॉन्फ़िगरेशन.
e204cdcf96d9f94f9c19dbe385e635d00caaf49d	3735924737	0xDEADB001	टाइमर मॉड्यूल.
abd2db754795272c21407efd5080c8a705a7d151	3735924993	0xDEADB101	टाइमर मॉड्यूल कॉन्फ़िगरेशन।

ऑर्केस्ट्रेटर और एम्बेडेड मॉड्यूल का कॉन्फ़िगरेशन XML प्रारूप में संग्रहीत किया जाता है। ऑर्केस्ट्रेटर कॉन्फ़िगरेशन का एक उदाहरण दिखाया गया है REF _Ref111452611 घंटे
आकृति 4
.

ऑर्केस्ट्रेटर कॉन्फ़िगरेशन प्रविष्टियों का विवरण इसमें दिखाया गया है REF _Ref111452782 घंटे तालिका 2
.

तालिका 2. ऑर्केस्ट्रेटर कॉन्फ़िगरेशन प्रविष्टियाँ

संसाधन घटकों को लोड करने के बाद, अलग-अलग कार्यों को करने के लिए कई थ्रेड बनाए जाते हैं। इनमें से एक थ्रेड पर्यावरण जांच करने के लिए ज़िम्मेदार है, एक्ज़ीक्यूटर के भीतर कार्यान्वित एक फ़ंक्शन। एक अन्य थ्रेड C&C सर्वर के साथ आवधिक संचार स्थापित करने, कमांड की पुनर्प्राप्ति को सक्षम करने के लिए समर्पित है। अंत में, प्राप्त आदेशों को निष्पादित करने और बाद में किसी भी उत्पन्न आउटपुट को C&C सर्वर पर वापस भेजने के उद्देश्य से तीन थ्रेड्स का एक सेट नियोजित किया जाता है।

पर्यावरण-जांच थ्रेड अवांछित प्रक्रियाओं की पहचान करने के लिए चल रही प्रक्रियाओं की निगरानी करता है। यह थ्रेड प्रक्रिया नामों की दो अलग-अलग सूचियों के साथ संचालित होता है। यदि पहली सूची में किसी प्रक्रिया का पता चलता है, तो C&C संचार और कमांड निष्पादन तब तक रोक दिया जाता है जब तक कि अवांछित प्रक्रिया मौजूद न हो जाए। यदि दूसरी सूची में किसी प्रक्रिया का मिलान होता है, तो पिछला दरवाज़ा तुरंत बंद हो जाता है और स्वयं अनइंस्टॉल हो जाता है।

विश्लेषण किए गए उदाहरण में कोई भी सूची कॉन्फ़िगर नहीं की गई थी, इसलिए हम नहीं जानते कि आम तौर पर किन प्रक्रियाओं की जाँच की जा सकती है; हमारा मानना ​​है कि इसका उद्देश्य संभवतः उन विश्लेषण उपकरणों से बचना है जो संदिग्ध गतिविधि का पता लगा सकते हैं और पिछले दरवाजे की खोज का कारण बन सकते हैं।

संचार

ऑर्केस्ट्रेटर सी एंड सी संचार के लिए दो एम्बेडेड मॉड्यूल का उपयोग करता है - टाइमर और नेटवर्क। ऑर्केस्ट्रेटर की तरह, ये मॉड्यूल .NET रिएक्टर के साथ अस्पष्ट हैं। दोनों मॉड्यूल के लिए कॉन्फ़िगरेशन ऑर्केस्ट्रेटर द्वारा प्रदान किया जाता है। ऑर्केस्ट्रेटर के भीतर, मॉड्यूल के लिए एक पूर्व निर्धारित कॉन्फ़िगरेशन शामिल है; वैकल्पिक रूप से, ऑर्केस्ट्रेटर रजिस्ट्री से एक अद्यतन कॉन्फ़िगरेशन संस्करण भी लोड कर सकता है:

{HKCU|HKLM}सॉफ़्टवेयरक्लासेसCLSID{ }

पिछले दरवाजे में संचार से संबंधित एक दिलचस्प सुरक्षा उपाय शामिल है। यदि पिछला दरवाजा निष्पादक के भीतर कॉन्फ़िगर की गई पूर्वनिर्धारित सीमा से अधिक अवधि के लिए सी एंड सी सर्वर के साथ संचार स्थापित करने में असमर्थ है, तो एक स्व-अनइंस्टॉलेशन तंत्र ट्रिगर हो जाता है। यह समय सीमा घंटों में निर्दिष्ट है और जांच किए गए मामले में इसे एक घंटे पर निर्धारित किया गया था।

यह दृष्टिकोण दोहरे उद्देश्य को पूरा करता है। एक ओर, यह एक दुर्गम सर्वर की ओर अनावश्यक नेटवर्क अनुरोधों की पीढ़ी को रोकता है। दूसरी ओर, यदि ऑपरेटर पिछले दरवाजे पर नियंत्रण खो देते हैं तो इससे बाद में पता चलने की संभावना कम हो जाती है।

टाइमर मॉड्यूल

यह छोटा मॉड्यूल एक कॉन्फ़िगर करने योग्य अंतराल पर निर्दिष्ट कॉलबैक निष्पादित करता है। इसका उपयोग ऑर्केस्ट्रेटर द्वारा नेटवर्क मॉड्यूल के संयोजन में C&C सर्वर के साथ समय-समय पर संचार करने के लिए किया जाता है। नेटवर्क लॉग में पता लगाने योग्य पैटर्न के निर्माण को रोकने के लिए, निष्पादन अंतराल कॉन्फ़िगरेशन में निर्दिष्ट प्रतिशत के आधार पर यादृच्छिककरण के अधीन है। विश्लेषण किए गए उदाहरण में, अंतराल को पांच मिनट पर सेट किया गया था, जिसमें यादृच्छिकता के लिए ±20% भिन्नता पेश की गई थी।

आवधिक संचार में पता लगाने योग्य नेटवर्क पैटर्न से बचने का एक अन्य तरीका C&C सर्वर पर भेजे गए अनुरोधों को उत्पन्न करने में पाया जा सकता है। निष्पादक में कार्यान्वित इस तंत्र में अनुरोधों के भीतर यादृच्छिक बाइट्स से युक्त अलग-अलग लंबाई की पैडिंग को शामिल करना शामिल है, जिसके परिणामस्वरूप विभिन्न आकारों के अनुरोध प्राप्त होते हैं।

नेटवर्क मॉड्यूल

नेटवर्क मॉड्यूल इसके कॉन्फ़िगरेशन में निर्दिष्ट C&C सर्वर के साथ संचार लागू करता है। यह HTTP(S) POST अनुरोधों का उपयोग करके C&C सर्वर पर डेटा भेज सकता है। विशेष रूप से, यह प्रॉक्सी कॉन्फ़िगरेशन विवरण प्राप्त करने के लिए कई तंत्र प्रदान करता है। यह सुविधा उन परिवेशों पर संभावित फोकस का सुझाव देती है जहां सीधी इंटरनेट पहुंच उपलब्ध नहीं है।

डिक्रिप्टेड (और सुशोभित) कॉन्फ़िगरेशन का एक उदाहरण दिखाया गया है REF _Ref144978805 घंटे आकृति 5
.

कॉन्फ़िगरेशन प्रविष्टियों में नेटवर्क संचार से संबंधित विवरण शामिल हैं - सी एंड सी यूआरएल, HTTP उपयोगकर्ता-एजेंट, और वैकल्पिक रूप से एक प्रॉक्सी कॉन्फ़िगरेशन।

C&C सर्वर के साथ संचार करते समय, HTTPS के नीचे एन्क्रिप्टेड सामग्री के साथ एक कस्टम बाइनरी प्रोटोकॉल का उपयोग किया जाता है।

कमानों

ऑर्केस्ट्रेटर को कार्यों के रूप में C&C सर्वर से कमांड प्राप्त होते हैं, जो निष्पादन के लिए कतारबद्ध होते हैं। तीन प्रकार के कार्य संसाधित होते हैं:

• ऑर्केस्ट्रेटर कार्य,
• निष्पादक कार्य, और
• कार्य अपलोड करें.

पहले दो प्रकार C&C सर्वर से प्राप्त होते हैं और तीसरा कमांड और त्रुटियों के आउटपुट को अपलोड करने के लिए आंतरिक रूप से बनाया जाता है।

ऑर्केस्ट्रेटर कार्य

ऑर्केस्ट्रेटर कार्य नेटवर्क और टाइमर मॉड्यूल के कॉन्फ़िगरेशन को प्रबंधित करने और लंबित कार्यों को रद्द करने की क्षमता प्रदान करते हैं। ऑर्केस्ट्रेटर कार्यों का अवलोकन इसमें दिखाया गया है REF _Ref111101783 घंटे तालिका 3
.

तालिका 3. ऑर्केस्ट्रेटर कार्य

निष्पादक कार्य

निष्पादक कार्य पिछले दरवाजे को प्रबंधित करने और अतिरिक्त मॉड्यूल निष्पादित करने की क्षमता प्रदान करते हैं। यह उल्लेखनीय है कि पारंपरिक पिछले दरवाजे की कार्यक्षमता बाइनरी के भीतर स्वाभाविक रूप से मौजूद नहीं है। इसके बजाय, ये फ़ंक्शन C&C सर्वर से PE फ़ाइलों या शेलकोड के रूप में प्राप्त किए जाते हैं। इन अतिरिक्त मॉड्यूल के बिना पिछले दरवाजे की क्षमता की पूरी सीमा अज्ञात रहती है, जो प्रभावी रूप से इसकी वास्तविक क्षमताओं को अनलॉक करती है। मॉड्यूल कार्यों का अवलोकन इसमें दिखाया गया है REF _Ref117677179 घंटे तालिका 4
, जिसमें कुछ पहचाने गए मॉड्यूल के बारे में विवरण शामिल हैं। इसी प्रकार, REF _Ref117677188 घंटे तालिका 5
निष्पादक से जुड़े प्रबंधन कार्यों का एक सिंहावलोकन प्रदान करता है।

तालिका 4. निष्पादक कार्य - मॉड्यूल

प्रकार	Description
0x??–0x63	अज्ञात
0x64	फ़ाइल रीडर
0x65	अज्ञात
0x66	अज्ञात
0x67	अज्ञात
0x68	अज्ञात
0x69	प्रक्रिया निर्माता
0x6A	अज्ञात
0x6B	अज्ञात
0x6C	जानकारी संग्राहक
0x6 डी	अज्ञात
0x6E	अज्ञात

तालिका 5. निष्पादक कार्य - प्रबंधन

प्रकार	Description
0x6F-0x76	लागू नहीं किया गया
0x77	निष्पादक कॉन्फ़िगरेशन सेट करें
0x78	निष्पादक कॉन्फ़िगरेशन प्राप्त करें
0x79-0x7C	लागू नहीं किया गया
0x7 डी	अपडेट
0x7E	छोड़ना
0x7F	स्थापना रद्द करें

एक्ज़ीक्यूटर कॉन्फ़िगरेशन सेट करने वाला कमांड इसे बदल सकता है:

• अवांछित प्रक्रिया सूचियाँ,
• C&C संचार विफलता की समय सीमा, और
• अतिरिक्त मॉड्यूल के निष्पादन के लिए समय सीमा.

मॉड्यूल

हम C&C सर्वर से तीन अद्वितीय मॉड्यूल प्राप्त करने में कामयाब रहे, जिनमें से प्रत्येक एक अलग निष्पादक कार्य प्रकार के अनुरूप है, जैसा कि इसमें दिखाया गया है REF _Ref117677179 घंटे तालिका 4 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003100310037003600370037003100370039000000
. उपलब्ध जानकारी के आधार पर, हमारा अनुमान है कि कुल मिलाकर नौ से चौदह मॉड्यूल हैं। चूँकि मॉड्यूल वास्तव में बैकडोर कमांड हैं, उनके पास निष्पादित करने के लिए एक बुनियादी ऑपरेशन होता है और फिर वैकल्पिक रूप से अपना आउटपुट लौटाते हैं। हमने जो मॉड्यूल प्राप्त किए हैं वे एक अनाम निर्यात (ऑर्डिनल) के साथ डीएलएल हैं 1), जिसमें वे आवश्यक एपीआई फ़ंक्शन को हल करते हैं और मुख्य फ़ंक्शन को कॉल करते हैं।

निष्पादित होने पर, मॉड्यूल को एक एपीआई रिज़ॉल्यूशन फ़ंक्शन प्रदान किया जाता है, जो विंडोज एपीआई और कस्टम एक्ज़ीक्यूटर एपीआई को हल कर सकता है। Windows API को DWORD हैश द्वारा संदर्भित किया जाता है, जिसकी गणना API और उसके DLL के नाम से की जाती है। छोटे हैश मान (<41) को एक्ज़ीक्यूटर एपीआई फ़ंक्शन को संदर्भित करते हुए विशेष रूप से व्यवहार किया जाता है। एक्ज़ीक्यूटर एपीआई में कुल 39 फ़ंक्शन शामिल हैं जो मॉड्यूल के लिए सुलभ हैं। ये कार्य विभिन्न प्रकार के परिचालनों से संबंधित हैं, जिनमें शामिल हैं:

• फ़ाइल संचालन,
• एन्क्रिप्शन और हैशिंग,
• संपीड़न,
• पीई लोड हो रहा है,
• टोकन प्रतिरूपण तक पहुंचें, और
• उपयोगिता।

इस अनुभाग के शेष भाग में, हम उन मॉड्यूल का वर्णन करते हैं जो हमने प्राप्त किए।

प्रक्रिया निर्माता

मॉड्यूल 0x69 निर्दिष्ट कमांड लाइन को एक नई प्रक्रिया के रूप में निष्पादित करता है और परिणामी आउटपुट को ऑर्केस्ट्रेटर को वापस प्रदान करता है। प्रक्रिया एक अलग उपयोगकर्ता के तहत बनाई जा सकती है, और इसका निष्पादन समय सीमित किया जा सकता है। विशेष रूप से, एक असामान्य जॉब एपीआई इस मॉड्यूल की कार्यक्षमता में उपयोग किया जाता है।

इस मॉड्यूल को कमांड लाइन के साथ परोसा गया था cmd.exe /c कार्यसूची /v.

हम मानते हैं कि यह स्वचालित रूप से जारी किए गए एक निष्क्रिय आदेश के रूप में कार्य करता है, जबकि ऑपरेटर समझौता किए गए कंप्यूटर पर कुछ दिलचस्प होने की प्रतीक्षा करते हैं।

जानकारी संग्राहक

मॉड्यूल 0x6C WMI प्रश्नों के माध्यम से कंप्यूटर के बारे में व्यापक जानकारी एकत्र करता है और इसे ऑर्केस्ट्रेटर को वापस भेज देता है। निम्नलिखित के बारे में जानकारी एकत्र की जाती है:

• ऑपरेटिंग सिस्टम,
• संचार अनुकूलक,
• स्थापित सॉफ़्टवेयर,
• ड्राइव,
• सेवाओं,
• ड्राइवरों,
• प्रक्रियाओं,
• उपयोगकर्ताओं,
• पर्यावरण चर, और
• सुरक्षा सॉफ्टवेयर.

फ़ाइल रीडर

मॉड्यूल 0x64 निर्दिष्ट फ़ाइल को पढ़ता है और सामग्री को ऑर्केस्ट्रेटर को वापस भेजता है। वैकल्पिक रूप से, यह पढ़ने के बाद फ़ाइल को हटा सकता है।

हमने देखा कि इस मॉड्यूल का उपयोग पीड़ित की आउटलुक डेटा फ़ाइल को पुनः प्राप्त करने के लिए किया जाता है

सी: उपयोगकर्ता AppDataLocalMicrosoftOutlookoutlook.ost.

शेलकोड डाउनलोडर के साथ श्रृंखला

डेडग्लिफ़ की जांच की प्रक्रिया में, हमें एक संदिग्ध सीपीएल फ़ाइल मिली, जिस पर एक समाप्त प्रमाणपत्र और टाइमस्टैम्प के साथ कोई प्रतिहस्ताक्षर नहीं था, जिसे कतर से वायरसटोटल पर अपलोड किया गया था। बारीकी से जांच करने पर, यह स्पष्ट हो गया कि यह सीपीएल फ़ाइल एक मल्टीस्टेज शेलकोड डाउनलोडर के रूप में कार्य करती है, जो डेडग्लिफ़ के साथ कुछ कोड समानताएं साझा करती है। लोडिंग श्रृंखला का चित्रण किया गया है REF _Ref143693067 घंटे आकृति 6
.

अपने प्रारंभिक रूप में, जो पहले चरण के रूप में कार्य करता है, यह फ़ाइल एक होने का अनुमान लगाती है सीपीएल एक्सटेंशन (कंट्रोल पैनल फ़ाइल) और इसे डबल-क्लिक क्रिया के माध्यम से निष्पादित किया जाना है। इस तरीके से निष्पादित होने पर, एम्बेडेड शेलकोड XOR डिक्रिप्शन से गुजरता है, और बाद के इंजेक्शन के लिए उपयुक्त होस्ट प्रक्रिया की पहचान करने के लिए चल रही प्रक्रियाओं की जांच की जाती है।

If avp.exe (एक कैस्पर्सकी एंडपॉइंट सुरक्षा प्रक्रिया) चल रही है, %windir%system32UserAccountBroker.exe प्रयोग किया जाता है। अन्यथा, डिफ़ॉल्ट ब्राउज़र का उपयोग किया जाता है. फिर, यह एक निलंबित स्थिति में होस्ट प्रक्रिया बनाता है, इसके मुख्य थ्रेड को हाईजैक करके शेलकोड को इंजेक्ट करता है, और थ्रेड को फिर से शुरू करता है।

दूसरे चरण, शेलकोड में दो भाग होते हैं। शेलकोड का पहला भाग डेडग्लिफ़ में नियोजित समान अद्वितीय हैश गणना तकनीक का उपयोग करके एपीआई हैश को हल करता है, और प्रक्रिया नामों के साथ स्ट्रिंग्स को डिक्रिप्ट करता है। यह एक सेल्फ-डिलीट थ्रेड शुरू करता है जिसका काम ओवरराइटिंग करना और बाद में पहले चरण की फ़ाइल को मिटाना है। इसके बाद, शेलकोड एक सुरक्षा समाधान को लक्षित करते हुए वर्तमान में सक्रिय प्रक्रियाओं का निरीक्षण करने के लिए आगे बढ़ता है।

यदि निर्दिष्ट प्रक्रियाओं में से किसी का पता लगाया जाता है, तो शेलकोड सबसे कम प्राथमिकता वाला स्लीपर थ्रेड बनाता है (THREAD_PRIORITY_IDLE) और इसे अपना संचालन समाप्त करने से पहले 60 सेकंड की अवधि तक सक्रिय रहने की अनुमति देता है। सुरक्षा समाधानों द्वारा नियोजित कुछ पहचान तंत्रों से बचने के लिए यह अंतराल संभवतः एहतियाती उपाय के रूप में लागू किया गया है। अंत में, शेलकोड अपने कोड के दूसरे भाग के निष्पादन को शुरू करने के लिए आगे बढ़ता है।

शेलकोड का दूसरा भाग चरण तीन के साथ एक एम्बेडेड पीई फ़ाइल को लोड करता है और इसके निर्यात को क्रमिक संख्या के साथ कॉल करता है 1.

तीसरा चरण, एक DLL, एक .NET लोडर के रूप में कार्य करता है और इसमें पेलोड शामिल होता है .आरएसआरसी अनुभाग।

पेलोड लोड करने के लिए, .NET रनटाइम प्रारंभ किया जाता है। .NET आरंभीकरण के दौरान, दो दिलचस्प तकनीकों का प्रदर्शन किया जाता है, जिनका उद्देश्य विंडोज़ से बचना प्रतीत होता है एंटीमैलवेयर स्कैन इंटरफ़ेस (एएमएसआई) स्कैनिंग:

• .NET लोडर अस्थायी रूप से हुक करता है GetModuleHandleW लोड में आयात करें सीएलआर.डीएलएल, कॉल करते समय ICorRuntimeHost::प्रारंभ. जब हुक रिटर्न वैल्यू के साथ छेड़छाड़ करता है GetModuleHandleW के साथ कहा जाता है नल. यह बिना किसी सेक्शन वाले डमी पीई को एक पॉइंटर लौटाता है।
• इसके बाद यह सूक्ष्मता से पैच कर देता है एम्सिइनिशियलाइज़ में नाम स्ट्रिंग आयात करें .rdata लोड का अनुभाग सीएलआर.डीएलएल सेवा मेरे aएम एस आईiप्रारंभ करें.

चौथा चरण एक .NET असेंबली है, जो कन्फ्यूज़रएक्स से बाधित है, जो शेलकोड डाउनलोडर के रूप में कार्य करता है। सबसे पहले, यह अपने संसाधनों से XML प्रारूप में अपने कॉन्फ़िगरेशन को XOR-डिक्रिप्ट करता है। निकाले गए कॉन्फ़िगरेशन का एक सुंदर संस्करण प्रस्तुत किया गया है REF _Ref143695453 घंटे आकृति 7
. कॉन्फ़िगरेशन प्रविष्टियों में नेटवर्क संचार और ब्लॉकलिस्टेड प्रक्रियाओं से संबंधित विवरण शामिल हैं।

आगे बढ़ने से पहले, यह कॉन्फ़िगरेशन से ब्लॉकलिस्टेड प्रक्रियाओं की सूची के विरुद्ध चल रही प्रक्रियाओं की जांच करता है। यदि कोई मिलान पाया जाता है, तो निष्पादन रुक जाता है। यह ध्यान रखना महत्वपूर्ण है कि विश्लेषण किए गए उदाहरण में, यह ब्लॉकलिस्ट सेट नहीं की गई थी।

इसके बाद, यह कॉन्फ़िगरेशन (यूआरएल, उपयोगकर्ता-एजेंट और वैकल्पिक रूप से प्रॉक्सी) में निर्दिष्ट पैरामीटर का उपयोग करके कुछ शेलकोड पुनर्प्राप्त करने के लिए सी एंड सी सर्वर को एक HTTP GET अनुरोध भेजता है। अफसोस की बात है कि हमारी जांच के दौरान हम C&C सर्वर से कोई भी शेलकोड प्राप्त करने में असमर्थ रहे। बहरहाल, हमारा अनुमान है कि पुनर्प्राप्त की जा रही सामग्री संभावित रूप से डेडग्लिफ़ के लिए इंस्टॉलर के रूप में काम कर सकती है।

इसके बाद, पुनर्प्राप्त शेलकोड को नए बनाए गए थ्रेड के भीतर निष्पादित किया जाता है। शेलकोड थ्रेड के निष्पादन समाप्त होने तक प्रतीक्षा करने के बाद, शेलकोड डाउनलोडर निर्देशिका में स्थित सभी फ़ाइलों को हटा देता है %WINDIR%ServiceProfilesLocalServiceAppDataLocalTempTfsStoreTfs_DAV.

अंत में, यह 20 सेकंड के अंतराल के बाद खुद को हटाने का प्रयास करता है, इसके संचालन को समाप्त करने और बाहर निकलने से पहले, बाद के आदेश को नियोजित करता है:

cmd.exe विकल्प /CY /N /DY /T 20 और Del /f /q

इस श्रृंखला में इस स्व-विलोपन का कोई मतलब नहीं है। यह इस तथ्य के कारण है कि शेलकोड डाउनलोडर को एक स्वतंत्र निष्पादन योग्य के रूप में काम करने के बजाय, इंजेक्ट किए जाने के बाद ब्राउज़र या सिस्टम प्रक्रिया के भीतर निष्पादित किया जाता है। इसके अलावा, प्रारंभिक फ़ाइल दूसरे चरण तक पहले ही हटा दी गई थी। यह अवलोकन बताता है कि शेलकोड डाउनलोडर इस श्रृंखला का एक विशिष्ट पेलोड नहीं हो सकता है और अन्य परिचालनों में भी अलग से उपयोग किया जा सकता है।

निष्कर्ष

हमने स्टील्थ फाल्कन समूह द्वारा उपयोग किए जाने वाले एक परिष्कृत पिछले दरवाजे की खोज और विश्लेषण किया है जिसे हमने डेडग्लिफ नाम दिया है। इसमें एक असामान्य वास्तुकला है, और इसकी पिछले दरवाजे की क्षमताएं अतिरिक्त मॉड्यूल के रूप में इसके सी एंड सी द्वारा प्रदान की जाती हैं। हम डेडग्लिफ़ की पूर्ण क्षमताओं के एक अंश को उजागर करते हुए, इनमें से तीन मॉड्यूल प्राप्त करने में कामयाब रहे।

विशेष रूप से, डेडग्लिफ़ काउंटर-डिटेक्शन तंत्र की एक श्रृंखला का दावा करता है, जिसमें सिस्टम प्रक्रियाओं की निरंतर निगरानी और यादृच्छिक नेटवर्क पैटर्न का कार्यान्वयन शामिल है। इसके अलावा, कुछ मामलों में इसका पता चलने की संभावना को कम करने के लिए पिछला दरवाजा खुद को अनइंस्टॉल करने में सक्षम है।

इसके अतिरिक्त, हमारी जांच ने हमें वायरसटोटल पर एक आकर्षक मल्टीस्टेज शेलकोड डाउनलोडर श्रृंखला की खोज तक पहुंचाया। हमें संदेह है कि डेडग्लिफ़ की स्थापना प्रक्रिया में इस डाउनलोडर श्रृंखला का लाभ उठाया जा सकता है।

WeLiveSecurity पर प्रकाशित हमारे शोध के बारे में किसी भी पूछताछ के लिए, कृपया हमसे यहां संपर्क करें धमकीइंटेल@eset.com.
ईएसईटी रिसर्च निजी एपीटी खुफिया रिपोर्ट और डेटा फीड प्रदान करता है। इस सेवा के बारे में किसी भी पूछताछ के लिए, पर जाएँ ईएसईटी थ्रेट इंटेलिजेंस इस पृष्ठ पर ज़ूम कई वीडियो ट्यूटोरियल और अन्य साहायक साधन प्रदान करता है।

आईओसी

फ़ाइलें

शा 1	फ़ाइल का नाम	खोज	Description
C40F1F46D230A85F702DAA38CFA18D60481EA6C2	pbrtl.dll	Win64/डेडग्लिफ़.ए	रजिस्ट्री शेलकोड लोडर।
740D308565E215EB9B235CC5B720142428F540DB	एन / ए	Win64/डेडग्लिफ़.ए	डेडग्लिफ़ बैकडोर - निष्पादक।
1805568D8362A379AF09FD70D3406C6B654F189F	एन / ए	एमएसआईएल/डेडग्लिफ़.ए	डेडग्लिफ़ बैकडोर - ऑर्केस्ट्रेटर।
9CB373B2643C2B7F93862D2682A0D2150C7AEC7E	एन / ए	एमएसआईएल/डेडग्लिफ़.ए	ऑर्केस्ट्रेटर नेटवर्क मॉड्यूल।
F47CB40F6C2B303308D9D705F8CAD707B9C39FA5	एन / ए	एमएसआईएल/डेडग्लिफ़.ए	ऑर्केस्ट्रेटर टाइमर मॉड्यूल।
3D4D9C9F2A5ACEFF9E45538F5EBE723ACAF83E32	एन / ए	Win64/Deadglyph.A.gen	प्रक्रिया निर्माता मॉड्यूल.
3D2ACCEA98DBDF95F0543B7C1E8A055020E74960	एन / ए	Win64/डेडग्लिफ़.ए	फ़ाइल रीडर मॉड्यूल.
4E3018E4FD27587BD1C566930AE24442769D16F0	एन / ए	Win64/डेडग्लिफ़.ए	जानकारी संग्राहक मॉड्यूल.
7F728D490ED6EA64A7644049914A7F2A0E563969	एन / ए	Win64/इंजेक्टर.एमडी	शेलकोड डाउनलोडर श्रृंखला का पहला चरण।

प्रमाण पत्र

क्रमांक	00F0FB1390F5340CD2572451D95DB1D92D
थंबप्रिंट	DB3614DAF58D041F96A5B916281EA0DC97AA0C29
विषय सीएन	आरएचएम लिमिटेड
विषय ओ	आरएचएम लिमिटेड
विषय एल	सेंट Albans
विषय एस	हर्टफ़ोर्डशायर
विषय सी	GB
ईमेल	rhm@rhmlimited[.]co.uk
से मान्य	2021-03-16 00:00:00
इस तक मान्य	2022-03-16 23:59:59

सी एंड सी सर्वर

IP	डोमेन	पहले देखा	टिप्पणी
185.25.50 [।] 60	शतरंजएंडलिंक्स[.]कॉम	2021-08-25	डेडग्लिफ़ सी एंड सी सर्वर।
135.125.78 [।] 187	easymathpath[.]com	2021-09-11	डेडग्लिफ़ सी एंड सी सर्वर।
45.14.227 [।] 55	जॉइनुहेल्थ[.]कॉम	2022-05-29	शेलकोड डाउनलोडर सी एंड सी सर्वर।

MITER ATT&CK तकनीक

यह तालिका का उपयोग करके बनाई गई थी 13 संस्करण एमआईटीईआर एटीटी एंड सीके ढांचे का।

युक्ति	ID	नाम	Description
संसाधन विकास	T1583.001	इन्फ्रास्ट्रक्चर हासिल करें: डोमेन	स्टील्थ फाल्कन ने C&C सर्वर के लिए और कोड-हस्ताक्षर प्रमाणपत्र प्राप्त करने के लिए डोमेन पंजीकृत किया है।
	T1583.003	इंफ्रास्ट्रक्चर हासिल करें: वर्चुअल प्राइवेट सर्वर	स्टील्थ फाल्कन ने C&C सर्वर के लिए VPS होस्टिंग प्रदाताओं का उपयोग किया है।
	T1587.001	क्षमता विकसित करें: मैलवेयर	स्टील्थ फाल्कन ने कस्टम मैलवेयर विकसित किया है, जिसमें कस्टम लोडर और डेडग्लिफ़ बैकडोर शामिल हैं।
	T1588.003	क्षमता प्राप्त करें: कोड हस्ताक्षर प्रमाण पत्र	स्टेल्थ फाल्कन ने एक कोड-हस्ताक्षर प्रमाणपत्र प्राप्त किया है।
निष्पादन	T1047	Windows मैनेजमेंट इंस्ट्रूमेंटेशन	डेडग्लिफ़ अपनी लोडिंग श्रृंखला को निष्पादित करने के लिए WMI का उपयोग करता है।
	T1059.003	कमांड और स्क्रिप्टिंग दुभाषिया: विंडोज कमांड शेल	शेलकोड डाउनलोडर का उपयोग करता है cmd.exe खुद को मिटाने के लिए.
	T1106	मूल निवासी एपीआई	एक डेडग्लिफ़ मॉड्यूल का उपयोग करता है क्रिएट प्रोसेस डब्ल्यू और CreateProcessAsUserW निष्पादन के लिए एपीआई कार्य करता है।
	T1204.002	उपयोगकर्ता निष्पादन: दुर्भावनापूर्ण फ़ाइल	शेलकोड डाउनलोडर श्रृंखला के लिए उपयोगकर्ता को इसे डबल-क्लिक करने और निष्पादित करने की आवश्यकता होती है।
हठ	T1546.003	इवेंट ट्रिगर निष्पादन: विंडोज प्रबंधन इंस्ट्रुमेंटेशन इवेंट सदस्यता	प्रारंभिक डेडग्लिफ़ लोडर को WMI ईवेंट सदस्यता का उपयोग करके जारी रखा जाता है।
रक्षा चोरी	T1027	अस्पष्ट फ़ाइलें या सूचना	डेडग्लिफ़ घटक एन्क्रिप्टेड हैं। डेडग्लिफ़ ऑर्केस्ट्रेटर और एम्बेडेड मॉड्यूल .NET रिएक्टर के साथ अस्पष्ट हैं। शेलकोड डाउनलोडर कन्फ्यूज़रएक्स से भ्रमित है।
	T1070.004	संकेतक हटाना: फ़ाइल हटाना	डेडग्लिफ़ स्वयं को अनइंस्टॉल कर सकता है। शेलकोड डाउनलोडर श्रृंखला स्वयं को हटा देती है और WebDAV कैश में फ़ाइलों को हटा देती है।
	T1112	रजिस्ट्री संशोधित करें	डेडग्लिफ़ अपने कॉन्फ़िगरेशन और एन्क्रिप्टेड पेलोड को रजिस्ट्री में संग्रहीत करता है।
	T1134	एक्सेस टोकन मैनिपुलेशन	डेडग्लिफ़ किसी अन्य उपयोगकर्ता का प्रतिरूपण कर सकता है।
	T1140	फाइलों या सूचनाओं को डिओबफसकेट/डीकोड करें	डेडग्लिफ़ एन्क्रिप्टेड स्ट्रिंग्स को डिक्रिप्ट करता है। शेलकोड डाउनलोडर श्रृंखला इसके घटकों और कॉन्फ़िगरेशन को डिक्रिप्ट करती है।
	T1218.011	सिस्टम बाइनरी प्रॉक्सी निष्पादन: Rundll32	प्रारंभिक डेडग्लिफ़ लोडर का उपयोग करके निष्पादित किया जाता है rundll32.exe.
	T1480.001	निष्पादन रेलिंग: पर्यावरण कुंजीयन	डेडग्लिफ़ को सिस्टम यूयूआईडी से प्राप्त मशीन-विशिष्ट कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।
	T1562.001	इंपेयर डिफेंस: टूल्स को डिसेबल या मॉडिफाई करें	शेलकोड डाउनलोडर पैचिंग द्वारा AMSI स्कैनिंग से बचता है सीएलआर.डीएलएल याद में ।
	T1620	चिंतनशील कोड लोड हो रहा है	डेडग्लिफ़ एक कस्टम पीई लोडर का उपयोग करके अपने मॉड्यूल को प्रतिबिंबित रूप से लोड करता है।
खोज	T1007	सिस्टम सेवा खोज	A डेडग्लिफ़ मॉड्यूल WMI क्वेरी का उपयोग करके सेवाओं की खोज करता है Win32_Service से * चुनें।
	T1012	क्वेरी रजिस्ट्री	शेलकोड डाउनलोडर श्रृंखला डिफ़ॉल्ट ब्राउज़र के लिए रजिस्ट्री से पूछताछ करती है।
	T1016	सिस्टम नेटवर्क कॉन्फ़िगरेशन डिस्कवरी	डेडग्लिफ़ मॉड्यूल WMI प्रश्नों का उपयोग करके नेटवर्क एडेप्टर की खोज करता है Win32_NetworkAdapter से * चुनें और Win32_NetworkAdapterConfiguration से * चुनें जहां InterfaceIndex=%d.
	T1033	सिस्टम ओनर/यूजर डिस्कवरी	एक डेडग्लिफ़ मॉड्यूल WMI क्वेरी के साथ उपयोगकर्ताओं को खोजता है Win32_UserAccount से * चुनें.
	T1057	प्रक्रिया खोज	डेडग्लिफ़ मॉड्यूल WMI क्वेरी का उपयोग करके प्रक्रियाओं की खोज करता है Win32_Process से * चुनें.
	T1082	सिस्टम सूचना डिस्कवरी	डेडग्लिफ़ मॉड्यूल WMI क्वेरीज़ का उपयोग करके OS संस्करण, ड्राइव, पर्यावरण चर और ड्राइवर जैसी सिस्टम जानकारी खोजता है।
	T1518	सॉफ्टवेयर डिस्कवरी	डेडग्लिफ़ मॉड्यूल WMI क्वेरी का उपयोग करके स्थापित सॉफ़्टवेयर की खोज करता है Win32_Product से * चुनें.
	T1518.001	सॉफ्टवेयर डिस्कवरी: सुरक्षा सॉफ्टवेयर डिस्कवरी	डेडग्लिफ़ मॉड्यूल WMI प्रश्नों का उपयोग करके सुरक्षा सॉफ़्टवेयर की खोज करता है एंटीवायरस उत्पाद से * चुनें, एंटीस्पाइवेयर उत्पाद से * चुनें और फ़ायरवॉल उत्पाद से * चुनें. शेलकोड डाउनलोडर श्रृंखला सुरक्षा समाधान के लिए चल रही प्रक्रियाओं की जाँच करती है।
पुस्तक संग्रह	T1005	स्थानीय सिस्टम से डेटा	डेडग्लिफ़ में फ़ाइलें पढ़ने के लिए एक मॉड्यूल है।
आदेश और नियंत्रण	T1071.001	अनुप्रयोग परत प्रोटोकॉल: वेब प्रोटोकॉल	डेडग्लिफ़ और शेलकोड डाउनलोडर HTTP प्रोटोकॉल के माध्यम से C&C सर्वर के साथ संचार करते हैं।
	T1090	प्रतिनिधि	डेडग्लिफ़ और शेलकोड डाउनलोडर C&C संचार के लिए HTTP प्रॉक्सी का उपयोग कर सकते हैं।
	T1573.001	एन्क्रिप्टेड चैनल: सममित क्रिप्टोग्राफी	डेडग्लिफ़ C&C संचार को एन्क्रिप्ट करने के लिए AES का उपयोग करता है।
exfiltration	T1041	C2 चैनल पर एक्सफिल्ट्रेशन	डेडग्लिफ़ एक्सफिल्ट्रेशन के लिए C&C चैनल का उपयोग करता है।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.welivesecurity.com/en/eset-research/stealth-falcon-preying-middle-eastern-skies-deadglyph/