1. Persistenz via Powershell
2. Persistenz über den Run-Registrierungsschlüssel
3. Persistenz über eine im Autostart-Verzeichnis gespeicherte LNK-Datei
Die Malware kopiert sich in einen Dateinamen, der sich auf die JSON-Konfiguration bezieht. Nach dem sich die Malware installiert hat, startet sie mit Netzwerkanfragen. Bei diesem Sample erfolgte die gesamte Netzwerkkommunikation über HTTP. Allerdings scheint sie auch HTTPS zu unterstützen. Wenn die Malware erstmals eine ausgehende Verbindung nutzt, wird ein bestimmter Cookie-Wert verwendet, der verschlüsselte Daten enthält. Wenn die entschlüsselten Daten keine verwertbaren JSON-Daten liefern, verwirft Seaduke diese und begibt sich in einen Schlafzyklus.
Insgesamt erscheint Seaduke recht anspruchsvoll. Die Malware ist in Python geschrieben, nutzt aber eine Reihe von interessanten Techniken zur Verschlüsselung von Daten im Netzwerk und zur Persistenz auf dem infizierten Computer. Kunden von Palo Alto Networks, die WildFire nutzen, sind vor dieser Bedrohung geschützt. Zusätzlich hat Palo Alto Networks die URL von Seaduke als bösartig kategorisiert.