「ファイルレス」マルウェアの新しい秘密の隠し場所

A new secret stash for “fileless” malware - securelist.com

攻撃者は、トロイの木馬を使用して任意のプロセスにコードを挿入する機能を備えているため、この機能を自由に使用して、次のモジュールをWindowsシステムプロセスまたはDLPなどの信頼できるアプリケーションに挿入できます。
トロイの木馬のエントリポイントでコードを呼び出した後、シェルコードは要求されたエクスポートも検索して呼び出します。
シェルコードは、エントリポイントを検索して呼び出すだけでなく、ハードコードされたハッシュによってトロイの木馬のエクスポートを検索し、引数daveと4を使用して見つかった関数を実行します。
C ++モジュールは、明らかにSilentBreak（現在はNetSPI）のThrowbackパブリックリポジトリのコードを使用していました：XORベースの暗号化関数、一部のサンプルの元のファイル名（ThrowbackDLL.dllなど）。
上記のWerFaultのパッチ（関数はメインのトロイの木馬スレッドで待機します）と同じですが、パラメーターを無視するため、daveと4は使用されません。
モジュールは、1バイトのXORキーを使用してC2ドメインを復号化します。