Приветствуем всех читателей. Не так давно вышел материал от
BI.ZONE о наборе утилит под названием Lizar, кратко рассмотрим его сегодня.
Хакерская группировка FIN7 предположительно основана ещё в 2013 году, но наиболее активную деятельность ведет с 2020 года. Достаточно продолжительное время они пользовались набором инструментов Carbanak Backdoor. Программа эта вроде как была от CheckPoint Software Technologies. Но теперь всё в прошлом, ведь недавно появился целый набор утилит, названных «Lizar». В нем содержатся компоненты разной направленности, но цель у всех одна — компрометация сети.
• Lizar Client — программа для управления лоадером.
• Lizar Server — посредник между управляющим (клиентом) и заражённым (лоадером)
• Lizar Loader — работает на заражённой системе и выполняет все команлы клиента.
• Lizar Plugins — плагины, находящиеся внутри системы.
• Lizar Plugins/Extra — плагины, загружаемые заражённому через лоадер.
Что же умеет этот набор инструментов? Ответ есть в интерфейсе клиента — как можно заметить по приложенному фото, при нажатии по ПКМ, выпадет меню со множеством интересных функций:
• info — получение информации о системе;
• Kill — отключить плагин;
• Period — изменить время «отстука»;
• Screenshot — сделать скриншот;
• List Proceses — получить список запущенных процессов;
• Command Line — открыть шелл к cmd;
• Executer — подключить дополнительный модуль;
• Jump To — сменить процесс лоадера на другой;
• New Session — запустить второй лоадер в той же системе;
• Mimikatz — запустить mimikatz;
• Grabber — собирать различные данные (Пароли+скриншоты или RDP);
• Network Analysis — разведывать сеть и информацию об Active Directory;
• Rat — запустить Carbanak Backdoor. Так интегрируются наработки в новый инструмент.
Остальные модули не столь интересны для краткого обзора.
Оригинал, полный разбор здесь. До новых встреч!