Сегодня с вами разберем модуль удаленного управления семейства Nanocore RAT, MD5 8b6071a9344b21469ca5a4b62a0a855b. Для доставки данного модуля используется фишинг, в качестве вложения архив c исполняемым файлом внутри.
Сегодня мы с вами разберем исполняемый файл семейства PlugX. Данный образец использовался APT TA428, Space Pirates. Изучим работу загрузчика, алгоритм расшифрования строк и основной нагрузки модуля. Потренируемся реверсить настоящие вирусы.
Сегодня проанализируем шелл-код Badger Brute Ratel C4, файл. Проведем динамичесий и статический анализ вредоносного кода, восстановим алгоритм декодирования функций (API Hashing), расшифруем полезную нагрузку и конфигурацию модуля.
Сегодня мы с вами проведем исследование [вредоносного файла](https://bazaar.abuse.ch/sample/acb0bce25d3edf9c3074dcc1cf7f4e25c10bdfadba049e640f6a7ec4590b5f10/), представляющий собой Golang дроппер. Основная задача исследуемого модуля установка шелл-кода CobaltStrike. Мы с вами научимся проводить динамический и статичесикй анализ, разберем алгоритм хэширования API функций и разработаем собственный декодер на Python3.