BlackSuit 勒索软件
2024-8-27 23:0:29 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

关键要点

  • • 2023 年 12 月,我们观察到一次入侵,该入侵从执行 Cobalt Strike 信标开始,以部署 BlackSuit 勒索软件结束。

  • • 攻击者利用了各种工具,包括 Sharphound、Rubeus、SystemBC、Get-DataInfo.ps1、Cobalt Strike 和 ADFind,以及内置的系统工具。

  • • 远程控制流量通过 CloudFlare 代理以隐藏其 Cobalt Strike 服务器。

  • • 在边界突破 15 天后,攻击者通过 SMB 将BlackSuit 勒索软件复制到管理员共享并通过 RDP 会话执行部署。

案例总结

入侵始于 2023 年 12 月,最初的迹象是一个异常大的 Cobalt Strike 信标的执行。信标执行后,攻击者没有立即进行后续活动。由于没有可用的证据,入侵的边界突破方式仍不清楚。Cobalt Strike C2 流量的目的IP是 CloudFlare 管理的 IP 地址,CloudFlare 充当受害者网络与C2服务器之间的代理服务器。
在边界突破大约六个小时后,攻击者使用 Windows 内置程序(例如 systeminfo 和 nltest)对系统和环境执行枚举。之后,他们利用 Rubeus 对其中两个域控制器进行了 AS-REP Roasting 和 Kerberoasting 攻击,这些攻击都是内存中的Cobalt Strike执行的。在此之后,攻击者通过 Cobalt Strike 信标在内存中加载运行 Sharphound,并将输出保存到磁盘。
大约 10 分钟后,攻击者进行了他们的第一次横向移动。他们通过 SMB 传输Cobalt Strike 载荷,并通过服务执行该载荷以控制另一个工作站。在该工作站上,他们访问 LSASS 以从内存中获取凭据。在入侵的第二天,攻击者在工作站和服务器上部署了多个 Cobalt Strike 信标,并使用 RDP 进行进一步的横向移动。
攻击者在其中一个文件服务器中上传了多个 SystemBC 可执行文件。第二个可执行文件通过注册表运行键进行权限维持,并打开了一个新的C2通道。在忙碌了一天之后,攻击者变得沉寂。第 7 天,Cobalt Strike C2通信停止使用 CloudFlare,并在入侵的剩余时间内切换到 亚马逊 AWS IP 地址。
第八天,攻击者在域控制器上部署了一个新的 PowerShell Cobalt Strike 信标,这次指向一个单独的远程控制服务器。在两天不活动后,攻击者又开始活跃,通过分发Cobat Strike载荷,再次通过RDP进行横向移动。当再次执行 Sharphound 时,我们观察到更多的扫描探测活动。攻击者多次尝试运行 ADFind,但每次都失败。
五天后,攻击者返回以最终确定他们的目标。这一次,ADFind 执行成功,然后执行 PowerShell 脚本 Get-DataInfo.ps1。最后一步是部署 BlackSuit 勒索软件二进制文件 qwe.exe,该二进制文件通过 SMB 通过 C$ 共享分发到远程系统。然后,攻击者使用 RDP 手动连接到这些系统以执行勒索软件。执行时,勒索软件使用 vssadmin 在加密主机之前删除卷影副本。勒索软件 (TTR) 的时间不到 328 小时,约15天,文件被加密,BlackSuit 赎金勒索信留在整个系统的桌面和文件夹中。

边界突破

攻击者存在的最早迹象是执行了 名为 RtWin64.exe的Cobalt Strike 信标,尽管进行了彻底的调查,但仍然无法溯源到攻击者是如何突破边界的。

代码执行

Cobalt Strike PsExec

Cobalt Strike 是攻击者使用的主要工具,特别是内置的psexec功能,这个功能让攻击者在横向移动时更加快速。psexec模块可以向目标主机上传二进制文件,并通过Windows系统服务的方式运行这个二进制文件。
Windows 系统日志中的 eventID 7045 显示在系统上创建的服务:


psexec 命令生成了一个rundll32.exe进程。


psexec_psh 模块不会将二进制文件复制到目标,而是执行 PowerShell 单行代码。它使用的模式是 %COMSPEC% /b /c start /b /min powershell -nop -w hidden -encodedcommand ...

权限维持

注册表运行键

为了确保对环境的持久访问,攻击者在 Current User 注册表配置单元中创建了一个名为“socks5”的运行密钥。注册表项的配置表明 PowerShell 将用于启动名为 socks32.exe 的 SystemBC 后门。
Sysmon eventID 13 (注册表值) 显示对注册表项值的更改:


值得一提的是,在 Run 键下创建的注册表值名称 socks5 是硬编码的。


注册表键值对应数据是一个字符串(REG_SZ类型),以 powershell.exe windowstyle -hidden Command开头,后接可执行文件名称,该名称是使用 [GetModuleFileNameA](https://learn.microsoft.com/en-us/windows/win32/api/libloaderapi/nf-libloaderapi-getmodulefilenamea) 和 null hModule 的第一个参数获取的。

计划任务

SystemBC 具有使用 COM 创建计划任务的能力,如以下示例所示。虽然其他报告指出 SystemBC 利用了此功能,但在我们的案例中可能并未采用此功能,因为在我们的调查期间没有观察到计划任务创建的证据。


它首先使用函数 CoCreateInstance 创建 ITaskScheduler 对象的实例,然后调用方法 NewWorkItem 来创建计划任务。

权限提升

在攻击者横向移动到的工作站上,我们观察到了命名管道的使用情况。


通常,当从 Cobalt Strike 观察此行为时,这往往是使用 getsystem 命令来提升权限; 但是,本次入侵中,我们观察到父进程不是services.exe并且攻击者已经作为 SYSTEM 运行。此活动与 横向移动 中列出的传递哈希行为相关。攻击者成功获取域管理员,然后使用 Cobalt Strike 再次横向移动,因此我们分析攻击者是利用传递哈希获取到的高权限,而不是 getsystem。

防御规避

修改注册表

攻击者使用编码的 PowerShell 命令来修改注册表,从而启用对文件服务器的远程桌面协议 (RDP) 访问。


将注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” DenyTSConnections 设置为 0 将允许终端服务器连接到主机。

进程注入

鉴于攻击者多次使用 Cobalt Strike 信标,我们预计会使用进程注入作为一种通过隐藏在合法进程中来逃避检测的方法。
通过分析来自 Cobalt Strike 已经注入的进程和访问模式,我们成功识别了我们正在搜索的可疑活动。


然后,可以使用 YARA 内存扫描等方法确认这些进程已经被注入:

凭证访问

攻击者采取了多种措施来获取有效凭证,主要利用 Rubeus 作为关键工具。在我们的调查过程中,我们发现 Rubeus 已被加载到 mstsc.exe 中(之前由 Cobalt Strike 注入的进程),充当 CLR 模块

AS-REP roasting

AS-REP roasting was the first credential access activity performed by the threat actor. This was done with Rubeus on the beachhead host targeting a domain controller.
AS-REP roasting是攻击者执行的第一个凭证访问活动。这是通过跳板机上的Rubeus针对域控服务器的攻击。
Rubeus 将 AS-REP roasting输出的结果写入文件:


通过在目标域控制器上查找 Windows eventID 4768,可以找到 AS-REP roasting的痕迹。“Pre-Authentication Type”的值为 0 的身份验证票证 (TGT),这意味着不需要密码。


在 AS-REP Roasting 期间请求了大量 Kerberos 身份验证票证:

Kerberoasting

攻击者使用 Rubeus 进行 Kerberoasting 攻击。在此期间,我们观察到大量 Kerberos 票证请求,特别是使用加密类型 0x17,这与 RC4 加密相对应。这些 RC4 加密请求与 Rubeus 的执行同时发生,并针对整个域中的多个账户
由 Cobalt Strike 在内存中执行的 Rubeus 创建 kerberoast 输出:


EventID 4769 在域控制器上显示对具有弱加密的票证的请求:

LSASS 内存访问

攻击者使用特定访问请求 0x1010 访问工作站上的 LSASS 内存,其中使用 ReadProcessMemory 读取内存需要 0x0010。此请求源自注入了 Cobalt Strike 的进程。
Sysmon 事件 ID 10 显示mstsc.exe设置掩码 0x1010 访问 lsass

信息收集

信息收集对于攻击者来说,在评估他们所渗透的环境方面起着至关重要的作用。在整个入侵过程中,攻击者在多个系统中进行了信息收集活动,收集有关网络及其资产的宝贵情报。

动手操作

在边界突破后大约 6 小时,攻击者开始在跳板机上进行信息收集。执行的第一个命令是 “systeminfo”,旨在收集有关本地系统的详细信息。不久之后,发出命令“nltest /dclist”来识别环境中的域控制器。
Sysmon 事件 ID 1 显示运行命令的证据:

Sharphound

一旦攻击者确定了域控制器,他们就立即通过 Cobalt Strike 将 Sharphound 加载到内存中。这使他们能够在环境中进行进一步的信息收集活动,从而扩大他们的侦察范围。
我们有一些证据表明mstsc.exe将 Sharphound 加载为 CLR(公共语言运行时)模块。mstsc.exe 是 Cobalt Strike 信标RtWin64.exe的子进程。以下从 EDR 数据中获取的屏幕截图:


Sharphound 的输出存储在 “C:\Windows\Temp\Dogi\” 中。此目录的反复使用与另一份报告 BazarCall to Conti Ransomware 链中记录的行为一致。这表明该攻击者组织或其成员具有潜在的行为特征或 TTP(战术、技术和程序)。根据创建的输出文件,Sharphound看起来是在默认模式下运行的,如下所述。
显示创建的文件的 Sysmon 事件 ID 11:


Sharphound 似乎在其默认模式下运行,该模式涉及通过目标主机上的 samr 管道远程查询 Windows 安全帐户管理器 (SAM) 数据库来枚举本地组成员资格。此管道通过 IPC$ 共享公开,可以通过监视事件 ID 为 5145 的 Windows 安全事件来检测相应的活动。类似的方法用于发现已登录的用户;但是,在这次入侵中,Sharphound 利用 Server Service Remote Protocol 与 srvsvc 管道通信。
显示 Sharphound 枚举活动的 Windows 事件日志事件 ID 5145:


当 Sharphound 通过 LDAP 搜索枚举 Active Directory 时,它会执行过多的查询。
Sharphound LDAP 搜索示例:

"(|(samaccounttype=268435456)(samaccounttype=268435457)(samaccounttype=536870912)(samaccounttype=536870913))", "(BuildString("(primarygroupid=*)"

由 Cobalt Strike 在内存中执行的 Sharphound,执行 LDAP 查询:


Sharphound 最初是在跳板机上执行的。在入侵的后期,攻击者又在域控制器上运行了两次 Sharphound。第一次运行的输出保存到 “C:\Windows\System32\”,而第二次运行的结果被定向到 “C:\Perflogs\”。
Sysmon 事件 ID 11 再次捕获了 Sharphound 创建的文件:


Windows 安全事件 ID 4799 显示 Sharphound 在本地启用安全的组上执行信息收集:


有关 Sharphound 的更多信息,请访问:
https://blog.compass-security.com/2022/05/bloodhound-inner-workings-part-1
https://blog.compass-security.com/2022/05/bloodhound-inner-workings-part-2
在这篇精彩的文章中,通常有更多检测 LDAP 查询的方法:
https://falconforce.nl/falconfriday-detecting-active-directory-data-collection-0xff21

ADFind

ADFind 是攻击者经常使用的工具,也出现在此次入侵,用于进行域信息收集。在获得对第二个域控制器的访问权限后,攻击者创建了“ADFind.exe”和“adf.bat”,以试图收集更多的 Active Directory 信息。
Sysmon 事件 ID 11 显示 Cobalt Strike 创建 ADFind.exe 和 adf.bat:


创建文件几秒钟后,攻击者急于收集所需的信息并通过 cmd.exe 执行adf.bat


每次执行批处理文件后,未观察到其他命令。这表明操作员可能遇到了困难,因为批处理文件在初次尝试后的一分钟内执行了两次,这表明执行过程中存在潜在问题或报错。
Sysmon 事件 ID 11 显示了使用 ADFind 的输出创建文件的过程:


输出文件最终可能是空的,从而导致攻击者重新考虑他们的方法。大约 15 分钟后,攻击者尝试直接从命令行运行 ADFind.exe,这可能是为了验证该工具是否能够正确执行。


在未能确定问题的原因后,攻击者一直保持沉默,直到第二天。攻击者应该是累傻了,尝试从“C:\Windows\System32\” 运行 “adf.bat”。而实际上“adf.bat”和“ADFind.exe”都在“C:\Perflogs\adf\”目录下。


几天后,攻击者决定再次尝试 ADFind。这一次,在文件服务器上,攻击者成功运行了 adf.bat 正确找到ADFind.exe并执行所需的信息收集活动:
Sysmon 事件 ID 1 显示攻击者正在运行 adf.bat:


产生多个adfind.exe进程事件:

Get-DataInfo.ps1

The threat actor also used a PowerShell script to enumerate local systems. Together with a batch script called “start.bat” the threat actor ran Get-DataInfo.ps1 on both a domain controller and a different servers in the environment. We have seen this PowerShell script used several times before. Interestingly, PowerShell was initiated using the start.bat file. However, the start.bat file did not work as intended and passed the “method” parameter to the Get-DataInfo.ps1 script, which is not recognized as a valid parameter. As a result, it ran in default mode. This behavior may have confused the operator at the keyboard, as well as the batch script that was run several times in a row on both servers.
攻击者还使用 PowerShell 脚本来枚举本地系统。攻击者在在域控制器和另一个服务器上通过名为“start.bat”的批处理脚本 Get-DataInfo.ps1。我们之前已经看到这个 PowerShell 脚本用过好几次了。有趣的是,PowerShell 是使用 start.bat 文件启动的。但是,start.bat 文件未按预期工作,并将“method”参数传递给 Get-DataInfo.ps1 脚本,该脚本未识别为有效参数。因此,它以默认模式运行。此行为可能也是攻击者手动操作的。
Sysmon EventID 1 显示start.bat使用参数 method 执行 Get-DataInfo.ps1

start.bat 脚本会尝试传递method参数:


脚本的问题在于,变量 “method” 在 IF 条件完成之前不会收到用户选择的值。此外,必须将变量引用为 %method% 才能正确捕获用户输入。此疏忽解释了为什么启动 Get-DataInfo.ps1 的 PowerShell 命令在命令行中包含“method”作为参数:


下面将以默认模式运行 Get-DataInfo.ps1 脚本:


默认模式将在调用最后一个函数 Compress-Result 之前运行脚本中的 Test-LHostGet-DiskInfo 和 Get-Software 函数:


显示执行的 Sysmon eventID 1:


Sysmon eventID 1 process create 显示 start.bat 的多次运行:

Windows 内置程序

攻击者在入侵期间的不同时间使用各种 Windows 内置程序执行了多个信息收集命令。

C:\Windows\system32\\cmd.exe /C systeminfo 
C:\Windows\system32\cmd.exe /C net group "domain admins" /domain
C:\Windows\system32\cmd.exe /C nltest /dclist <domainname redacted>
nltest  /domain_trusts /all_trusts
C:\Windows\system32\cmd.exe /C net group "enterprise admins" /domain
C:\Windows\system32\cmd.exe /C ping <hostname redacted>
C:\Windows\system32\taskmgr.exe /4
C:\Windows\system32\cmd.exe /C All windows Import-Module ActiveDirectory Get-ADComputer -Filter {enabled -eq $true} -properties *|select Name, DNSHostName, OperatingSystem, LastLogonDate, IPv4Address | Export-CSV C:\Users\AllWindows.csv -NoTypeInformation -Encoding UTF8
C:\Windows\system32\cmd.exe /C route print
C:\Windows\system32\cmd.exe /C ping http://<IP redacted>/

管理员控制台

在入侵的最后一天,攻击者访问了 DNS 和组策略的管理控制台。不久之后,他们开始在整个环境中部署勒索软件。

C:\Windows\system32\mmc.exe C:\Windows\system32\dsa.msc 
C:\Windows\system32\mmc.exe C:\Windows\System32\gpedit.msc

横向移动

PTH传递哈希

对环境中登录活动的调查揭示了指向传递哈希攻击的证据。具体来说,事件 ID 为 4624 的 Windows 安全日志显示登录类型 9 和列为“seclogo”的登录过程,是攻击者采用哈希传递技术的可靠指标。


攻击者使用了三种主要方法进行横向移动。首先,Cobalt Strike 利用 SMB ADMIN 将勒索软件可执行文件分发到基础设施内的战略端点。
域控制器被攻击者用作主要枢轴点。
涉及 SMB ADMIN share, the Windows event log proves invaluable. By examining System event ID 5145, which indicates “A network share object was checked…,” We can track the movement of beacons by the threat actor across the network, gaining essential insight into their lateral movements and activities.
Windows 事件日志对调查SMB ADMIN 共享使用情况。


用于横向移动的 Cobalt Strike SMB 信标分布在跳板机和域控制器上:
SMB 信标的配置:

xorkey b'.' 2e
0x0001 payload type                     0x0001 0x0002 2 windows-beacon_smb-bind_pipz
0x0002 port                             0x0001 0x0002 4444
0x0003 sleeptime                        0x0002 0x0004 10000
0x0004 maxgetsize                       0x0002 0x0004 2048576
0x0005 jitter                           0x0001 0x0002 0
0x0006 maxdns                           0x0001 0x0002 0
0x0007 publickey                        0x0003 0x0100 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
0x0008 server,get-uri                   0x0003 0x0100 (NULL ...)
0x0009 useragent                        0x0003 0x0080 (NULL ...)
0x000a post-uri                         0x0003 0x0040 (NULL ...)
0x000b Malleable_C2_Instructions        0x0003 0x0100
  Transform Input: [7:Input]
0x000c http_get_header                  0x0003 0x0100
0x000d http_post_header                 0x0003 0x0100
0x000e SpawnTo                          0x0003 0x0010 (NULL ...)
0x001d spawnto_x86                      0x0003 0x0040 '%windir%\\syswow64\\SyncHost.exe'
0x001e spawnto_x64                      0x0003 0x0040 '%windir%\\sysnative\\mstsc.exe'
0x000f pipename                         0x0003 0x0080 '\\\\.\\pipe\\WkSvcPipeMgr_JORW2e'
0x001f CryptoScheme                     0x0001 0x0002 0
0x0037 EXIT_FUNK                        0x0001 0x0002 0
0x0028 killdate                         0x0002 0x0004 0
0x0025 license-id                       0x0002 0x0004 674054486 Stats uniques -> ips/hostnames: 60 publickeys: 47
0x0024 deprecated                       0x0003 0x0020 'bfnETSwzb1Xsa2g6gr+auA=='
0x0026 bStageCleanup                    0x0001 0x0002 1
0x0027 bCFGCaution                      0x0001 0x0002 0
0x0029 textSectionEnd                   0x0002 0x0004 1
0x002a ObfuscateSectionsInfo            0x0003 0x0028 '\x00\x10\x00\x00\x95`\x02\x00\x00p\x02\x00À\n\x03\x00\x00\x10\x03\x00\x00Í\x03\x00\x00Ð\x03\x00lî\x03'
0x003a TCP_FRAME_HEADER                 0x0003 0x0080 '\x00\x0fk\x1d^ôá±\x81Bª\x1da'
0x0039 SMB_FRAME_HEADER                 0x0003 0x0080 '\x00\x1ek\x01oÿ>ñëb±\x1b ×\x85\x8e¥X\x1eOQË©¶¦\x13ø1'
0x002b process-inject-start-rwx         0x0001 0x0002 4 PAGE_READWRITE
0x002c process-inject-use-rwx           0x0001 0x0002 32 PAGE_EXECUTE_READ
0x002d process-inject-min_alloc         0x0002 0x0004 13891
0x002e process-inject-transform-x86     0x0003 0x0100 '\x00\x00\x00U\x0f\x1f\x84\x00\x00\x00\x00\x00\x0f\x1f@\x00\x0f\x1f\x80\x00\x00\x00\x00PX\x0f\x1fD\x00\x00f\x90f\x90\x90\x90f\x0f\x1fD\x00\x00f\x0f\x1f\x84\x00\x00\x00\x00\x00\x0f\x1f\x84\x00\x00\x00\x00\x00\x0f\x1f\x84\x00\x00\x00\x00\x00\x0f\x1f@\x00\x0f\x1fD\x00\x00PXf\x0f\x1fD\x00\x00\x0f\x1fD\x00\x00\x00\x00\x00KPX\x0f\x1fD\x00\x00f\x0f\x1fD\x00\x00PX\x0f\x1fD\x00\x00f\x0f\x1fD\x00\x00f\x90\x90\x0f\x1fD\x00\x00\x0f\x1f\x80\x00\x00\x00\x00f\x90\x90\x90PXPX\x0f\x1fD\x00\x00f\x90\x0f\x1fD\x00\x00\x90\x0f\x1f\x00\x0f\x1fD\x00\x00\x0f\x1fD'
0x002f process-inject-transform-x64     0x0003 0x0100 '\x00\x00\x00\x16f\x90f\x0f\x1fD\x00\x00f\x90\x0f\x1f\x00f\x0f\x1f\x84\x00\x00\x00\x00\x00\x00\x00\x00Zf\x0f\x1f\x84\x00\x00\x00\x00\x00\x0f\x1f\x80\x00\x00\x00\x00\x0f\x1f\x84\x00\x00\x00\x00\x00PX\x0f\x1fD\x00\x00\x0f\x1f\x00f\x0f\x1f\x84\x00\x00\x00\x00\x00\x0f\x1f\x84\x00\x00\x00\x00\x00f\x0f\x1fD\x00\x00\x90f\x0f\x1f\x84\x00\x00\x00\x00\x00\x0f\x1fD\x00\x00\x0f\x1f\x80\x00\x00\x00\x00f\x0f\x1fD\x00\x00\x90\x0f\x1f@'
0x0035 process-inject-stub              0x0003 0x0010 'ÅNí/½Ée\\\x0c\x13U\x0f\x04Ç,('
0x0033 process-inject-execute           0x0003 0x0080 '\x06\x04\x07\x00\x00\x00\x06ntdll\x00\x00\x00\x00\x13RtlUserThreadStart\x00\x01\x08\x03\x04'
0x0034 process-inject-allocation-method 0x0001 0x0002 0
0x0030 DEPRECATED_PROCINJ_ALLOWED       0x0001 0x0002 1
0x0010 killdate_year                    0x0001 0x0002 0
0x004a                                  0x0003 0x0020 'ÌѶ\x8f½ÉeDc~buq®FJô\x16\x9ccß\x82+\td\x7ff_J°\x11\x15'
0x0000
Guessing Cobalt Strike version: 4.4 (max 0x004a)

攻击者通过 SystemBC 使用 RDP 和隧道,留下了有助于识别其活动的关键程序。值得注意的是,我们检测到了两个主机名,“DESKTOP-0MEMSEA”和“DESKTOP-BIFFSC7”,它们在入侵期间被使用。这些项目出现在各种日志中,包括 Sysmon 事件 ID 24(剪贴板更改)、Windows 安全事件 ID 4624(登录)、事件 ID 4778(终端会话重新连接)和事件 ID 4779(终端服务器断开连接),提供了多个证据点,将攻击者在整个环境中的存在联系起来。
以下是攻击者使用这两个主机的 RDP 会话的概述:

敏感数据收集

归档

攻击者使用 7z 来存档运行 Get-DataInfo.ps1 PowerShell 脚本的数据输出。
显示 7z.exe 存档数据的执行情况的 Sysmon 事件 ID 1:

查找有趣的文件

在寻找有价值的数据的过程中,攻击者浏览了文件系统,选择性地打开了他们认为有趣的文件。包含密码、财务信息和其他敏感数据的文档是专门针对的,因为这些类型的文件通常对入侵者具有很高的价值。
Sysmon 事件 ID 1 显示用于打开和查看文件的记事本和写字板:

C2远程控制

对于远程控制,攻击者使用了两个主要工具,Cobalt Strike 和 SystemBC。

Cobalt Strike

Cobalt Strike 入侵流量信标模式概述:


最初的 Cobalt Strike 信标通过跳板机上的 RtWin64.exe 交付,并于C2域名svchorst[.]com通信。与域名关联的 IP 地址会随着时间的推移而变化,并且随着 RtWin64.exe 将查询注入不同的进程,通信过程也会发生变化。
为了进一步隐藏其存在,攻击者最初通过 CloudFlare 的 CDN 服务路由 Cobalt Strike 的C2流量,有效地隐藏在合法的 Web 流量下。
104[.]21.76.140 和 172[.]67.196.25 地址属于 Cloudflare。


在入侵的后期,远程控制 (C2) 服务器从 CloudFlare 移出,随后,域解析为 AWS IP 地址。


为 svchorst[.]com:执行的 DNS 查询


到 svchorst[.]com 的网络连接


使用 Didier Steven 的出色工具 1768.py,我们成功提取了 Cobalt Strike 信标的配置,该信标验证了在跳板机上发现的程序。

xorkey b'.' 2e
0x0001 payload type                     0x0001 0x0002 8 windows-beacon_https-reverse_https
0x0002 port                             0x0001 0x0002 443
0x0003 sleeptime                        0x0002 0x0004 50408
0x0004 maxgetsize                       0x0002 0x0004 4103260
0x0005 jitter                           0x0001 0x0002 30
0x0007 publickey                        0x0003 0x0100 30819f300d06092a864886f70d010101050003818d0030818902818100b8783383addbd675fb86964aae676bcaf31237e8cb4edf
428d39816f41810d852974f73e9ae1e7fd525c02221b9761a8f157db0728039c1103f31bb8adae4b4fed45f670943616de985e5dfc034982f3eb8ff643db4433fb59f2a45058eeed09af9881931dd3
2d999279172b79739f60628e57c311f4234fe65ea8eab3b7d19b0203010001000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
0x0008 server,get-uri                   0x0003 0x0100 'svchorst.com,/shiatzu/v2.41'
0x0043 DNS_STRATEGY                     0x0001 0x0002 0
0x0044 DNS_STRATEGY_ROTATE_SECONDS      0x0002 0x0004 -1
0x0045 DNS_STRATEGY_FAIL_X              0x0002 0x0004 -1
0x0046 DNS_STRATEGY_FAIL_SECONDS        0x0002 0x0004 -1
0x000e SpawnTo                          0x0003 0x0010 (NULL ...)
0x001d spawnto_x86                      0x0003 0x0040 '%windir%\\syswow64\\SyncHost.exe'
0x001e spawnto_x64                      0x0003 0x0040 '%windir%\\sysnative\\mstsc.exe'
0x001f CryptoScheme                     0x0001 0x0002 0
0x001a get-verb                         0x0003 0x0010 'GET'
0x001b post-verb                        0x0003 0x0010 'POST'
0x001c HttpPostChunk                    0x0002 0x0004 0
0x0025 license-id                       0x0002 0x0004 674054486
0x0024 deprecated                       0x0003 0x0020 'bfnETSwzb1Xsa2g6gr+auA=='
0x0026 bStageCleanup                    0x0001 0x0002 1
0x0027 bCFGCaution                      0x0001 0x0002 0
0x0047 MAX_RETRY_STRATEGY_ATTEMPTS      0x0002 0x0004 0
0x0048 MAX_RETRY_STRATEGY_INCREASE      0x0002 0x0004 0
0x0049 MAX_RETRY_STRATEGY_DURATION      0x0002 0x0004 0
0x0009 useragent                        0x0003 0x0100 'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Sa
fari/537.36'
0x000a post-uri                         0x0003 0x0040 '/unobservedly/v10.78'

在基础设施的其余部分,攻击者部署了两种不同类型的 Cobalt Strike 信标:HTTPS 信标和 SMB 信标。HTTPS 信标似乎与三个不同的域进行通信wq[.]regsvcast[.]com,as[.]regsvcast[.]com 和 zx[.]regsvcast[.]com。尽管实际上只有 wq[.]regsvcast[.]com 被积极使用,解析为 IP 地址 147.78.47[.]178. 这个 Cobalt Strike 服务器在 2024 年 12 月 21 日至 2024 年 1 月 6 日期间被 DFIR 威胁源跟踪为活跃。
Sysmon 事件 ID 22 记录了与 *regsvcast[.] com相关的 DNS 查询。从而进一步了解与 Cobalt Strike 基础设施相关的网络活动。

Sysmon 事件 ID 3 会记录建立的每个网络连接,前提是未在 Sysmon 配置中禁用它。这可能特别有用,因为某些 EDR 解决方案将速率限制应用于此类构件。
由于 Cobalt Strike 信标可以产生大量流量,因此可以在这些日志的最后一列中观察到每个信标的网络连接量,从而突出信标与远程控制基础设施之间通信的频率和噪声。


以下是来自 DC Y 的信标的配置,该信标在端口 443 上通过 https 加密通信:

File: b7bcee8.exe
payloadType: 0x00002810
payloadSize: 0x00040405
intxorkey: 0xe43ebc19
id2: 0x00000000
MZ header found position 9
Config found: xorkey b'.' 0x0003ac30 0x000403fc
0x0001 payload type                     0x0001 0x0002 8 windows-beacon_https-reverse_https
0x0002 port                             0x0001 0x0002 443
0x0003 sleeptime                        0x0002 0x0004 63612
0x0004 maxgetsize                       0x0002 0x0004 2796542
0x0005 jitter                           0x0001 0x0002 39
0x0007 publickey                        0x0003 0x0100 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
0x0008 server,get-uri                   0x0003 0x0100 'qw.regsvcast.com,/hr,as.regsvcast.com,/hr,zx.regsvcast.com,/hr'
0x0043 DNS_STRATEGY                     0x0001 0x0002 0
0x0044 DNS_STRATEGY_ROTATE_SECONDS      0x0002 0x0004 -1
0x0045 DNS_STRATEGY_FAIL_X              0x0002 0x0004 -1
0x0046 DNS_STRATEGY_FAIL_SECONDS        0x0002 0x0004 -1
0x000e SpawnTo                          0x0003 0x0010 (NULL ...)
0x001d spawnto_x86                      0x0003 0x0040 '%windir%\\syswow64\\runonce.exe'
0x001e spawnto_x64                      0x0003 0x0040 '%windir%\\sysnative\\runonce.exe'
0x001f CryptoScheme                     0x0001 0x0002 0
0x001a get-verb                         0x0003 0x0010 'GET'
0x001b post-verb                        0x0003 0x0010 'POST'
0x001c HttpPostChunk                    0x0002 0x0004 0
0x0025 license-id                       0x0002 0x0004 1580103824 Stats uniques -> ips/hostnames: 316 publickeys: 148
0x0026 bStageCleanup                    0x0001 0x0002 1
0x0027 bCFGCaution                      0x0001 0x0002 0
0x0009 useragent                        0x0003 0x0100 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246'
0x000a post-uri                         0x0003 0x0040 '/rw'
0x000b Malleable_C2_Instructions        0x0003 0x0100
  Transform Input: [7:Input,4,2:338,3,11]
   Print
   Remove 338 bytes from begin
   BASE64
   NETBIOS uppercase
0x000c http_get_header                  0x0003 0x0200
  Const_header Connection: close
  Const_header Accept-Encoding: br
  Build Metadata: [7:Metadata,13,3,2:wordpress_logged_in=,6:Cookie]
   BASE64 URL
   BASE64
   Prepend wordpress_logged_in=
   Header Cookie
0x000d http_post_header                 0x0003 0x0200
  Const_header Connection: close
  Const_header Accept-Language: en-US
  Const_header Content-Type: text/plain
  Build Output: [7:Output,3,3,4]
   BASE64
   BASE64
   Print
  Build SessionId: [7:SessionId,3,2:__session__id=,6:Cookie]
   BASE64
   Prepend __session__id=
   Header Cookie
0x0036 HostHeader                       0x0003 0x0080 (NULL ...)
0x0032 UsesCookies                      0x0001 0x0002 1
0x0023 proxy_type                       0x0001 0x0002 2 IE settings
0x003a TCP_FRAME_HEADER                 0x0003 0x0080 '\x00\x04'
0x0039 SMB_FRAME_HEADER                 0x0003 0x0080 '\x00\x04'
0x0037 EXIT_FUNK                        0x0001 0x0002 0
0x0028 killdate                         0x0002 0x0004 0
0x0029 textSectionEnd                   0x0002 0x0004 179426
0x002a ObfuscateSectionsInfo            0x0003 0x0028 '\x00À\x02\x00â¸\x03\x00\x00À\x03\x00H\x92\x04\x00\x00\xa0\x04\x00dÀ\x04\x00\x00Ð\x04\x00hß\x04'
0x002b process-inject-start-rwx         0x0001 0x0002 4 PAGE_READWRITE
0x002c process-inject-use-rwx           0x0001 0x0002 32 PAGE_EXECUTE_READ
0x002d process-inject-min_alloc         0x0002 0x0004 18046
0x002e process-inject-transform-x86     0x0003 0x0100 '\x00\x00\x00\x05\x90\x90\x90\x90\x90'
0x002f process-inject-transform-x64     0x0003 0x0100 '\x00\x00\x00\x05\x90\x90\x90\x90\x90'
0x0035 process-inject-stub              0x0003 0x0010 '"+\x8f\'Ûߺ\x8dÝU\x9eì¢~¦H'
0x0033 process-inject-execute           0x0003 0x0080 '\x01\x04\x03'
0x0034 process-inject-allocation-method 0x0001 0x0002 0
0x0000
Guessing Cobalt Strike version: 4.3 (max 0x0046)
Sanity check Cobalt Strike config: OK
Public key config entry found: 0x0003ac65 (xorKey 0x2e) (LSFIF: b'././.,.&.,./.,/')
Public key header found: 0x0003ac6b (xorKey 0x2e) (LSFIF: b'././.,.&.,./.,/')

来自 Cobalt Strike 信标的一个 C2 连接从其他连接中脱颖而出:它源自 PowerShell,但通过 HTTP 与端口 80 通信。


以明文交流让我们有机会了解正在发生的事情。攻击者使用 PowerShell 执行下载:


使用 Wireshark 查看对 C2 服务器的确切 HTTP 请求:


下载了一个 PowerShell 脚本,该脚本使用“FromBase64String”解码 Base64 编码的 blob。在脚本的末尾,解码后的数据被解压缩,这可以使用 'gunzip' 等工具轻松完成。此行为高度指示 Cobalt Strike PowerShell 暂存器。在解码 Base64 blob 后,我们发现了另一个嵌入式 PowerShell 脚本。


此 PowerShell 脚本解码另一个 base64 blob,但正如我们所看到的,它还对字节执行 XOR 操作。十进制 35 (0x23) 的 XOR 是 Cobalt Strike PowerShell 暂存器的众所周知的密钥。


解码最终的 base64 blob 后,我们得到 Cobalt Strike 信标,并且可以获取配置(因为所有 HTTP 信标上的配置都相同,配置是使用 csce 提取的):

{
  "beacontype": [
    "HTTPS"
  ],
  "sleeptime": 63612,
  "jitter": 39,
  "maxgetsize": 2796542,
  "spawnto": "AAAAAAAAAAAAAAAAAAAAAA==",
  "license_id": 1580103824,
  "cfg_caution": false,
  "kill_date": null,
  "server": {
    "hostname": "qw.regsvcast.com",
    "port": 443,
    "publickey": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCiCKWZb6nlL/Txn7FIuXF2qwp+LPwdWfzGYeTRr60MZjb8lStsq3uIvGLnxa00RBdQ506raatorMOfAFz9MV7dqTStQ4JFgw/SlojfSk8riRVMuB6hJtBIBAFeJmD1UTbRzOj7FBJtFnesCzh0a3pVQ3U8U9rgVVLhQti6dMNFaQIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=="
  },
  "host_header": "",
  "useragent_header": null,
  "http-get": {
    "uri": "/hr",
    "verb": "GET",
    "client": {
      "headers": null,
      "metadata": null
    },
    "server": {
      "output": [
        "print",
        "prepend 338 characters",
        "base64",
        "netbiosu"
      ]
    }
  },
  "http-post": {
    "uri": "/ch",
    "verb": "POST",
    "client": {
      "headers": null,
      "id": null,
      "output": null
    }
  },
  "tcp_frame_header": "AAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=",
  "crypto_scheme": 0,
  "proxy": {
    "type": null,
    "username": null,
    "password": null,
    "behavior": "Use IE settings"
  },
  "http_post_chunk": 0,
  "uses_cookies": true,
  "post-ex": {
    "spawnto_x86": "%windir%\\syswow64\\runonce.exe",
    "spawnto_x64": "%windir%\\sysnative\\runonce.exe"
  },
  "process-inject": {
    "allocator": "VirtualAllocEx",
    "execute": [
      "CreateThread",
      "RtlCreateUserThread",
      "CreateRemoteThread"
    ],
    "min_alloc": 18046,
    "startrwx": false,
    "stub": "IiuPJ9vfuo3dVZ7son6mSA==",
    "transform-x86": [
      "prepend '\\x90\\x90\\x90\\x90\\x90'"
    ],
    "transform-x64": [
      "prepend '\\x90\\x90\\x90\\x90\\x90'"
    ],
    "userwx": false
  },
  "dns-beacon": {
    "dns_idle": null,
    "dns_sleep": null,
    "maxdns": null,
    "beacon": null,
    "get_A": null,
    "get_AAAA": null,
    "get_TXT": null,
    "put_metadata": null,
    "put_output": null
  },
  "pipename": null,
  "smb_frame_header": "AAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=",
  "stage": {
    "cleanup": true
  },
  "ssh": {
    "hostname": null,
    "port": null,
    "username": null,
    "password": null,
    "privatekey": null
  }
}

SytemBC

攻击者在此次入侵中使用的另一个远程控制工具是 SystemBC,这是勒索软件组织经常青睐的工具。它最常用的功能之一是它的代理功能。这允许攻击者利用他们自己的外部计算机,并通过部署在文件服务器上的 SystemBC 恶意软件建立代理连接以访问本地网络,从而促进在受感染环境中采取进一步行动。


攻击者首先将 SystemBC 作为名为 SC.exe 的文件引入。这是攻击者在从 DC X 登录文件服务器后手动执行的。
显示 RDP 登录和登录 ID 的安全事件 ID 4624:


攻击者手动启动了名为 SC.exe 的 SystemBC:


请注意,原始名称不同,并且 LogonID 与上面的 RDP 登录名相同。
不久之后,攻击者带来了另一个名为 socks32.exe 的 SystemBC 文件。它已从 DC X 移动到文件服务器。
socks32.exe 移动了 SMB C$ :


通过 RDP 登录后,再次手动完成执行。
RDP 登录:


手动执行:


如果 SystemBC 示例是未经修改编译的,则通过检查 exe 文件从植入程序中提取配置应该是可行的,因为所有信息都以纯文本形式呈现。
socks32.exe 植入程序中 SystemBC 的端口和主机配置:

目标达成

在这次入侵中,攻击者的主要目标是通过赎金获得经济利益。他们引入了一个名为 qwe.exe 的可执行文件,我们后来确定为 BlackSuit 勒索软件。
该勒索软件战略性地分布在基础设施内的关键端点上并执行,从而发起赎金要求。


Windows 安全事件 ID 5145 显示通过 SMB C$ 共享分发 BlackSuit 勒索可执行文件:


为了避免在操作的最后阶段出现任何错误,攻击者避免使用必要的命令行参数手动键入命令来执行勒索软件。相反,为了确保准确性并消除拼写错误的风险,他们还将名为 123.txt 的文件与 qwe.exe 一起移动,可能将其用作脚本或参考,以保证勒索软件的正确执行。
Windows 安全事件 ID 5145 显示123.exe分发到 c:\users 目录:


从网络端看到的 123.txt 文件的移动。包括内容。ID 已编辑。


在暂存勒索软件可执行文件qwe.exe和帮助程序文件123.txt后,攻击者使用 DC X 的 RDP 登录各种系统。登录后,他们在记事本中打开123.txt,从文件中复制命令,然后执行勒索软件。此方法可确保使用正确的命令行参数,从而降低最终执行阶段出错的风险。
显示notepad.exe打开123.txt的 Sysmon 事件 ID 1:


显示 qwe.exe 执行的 Sysmon 事件 ID 1


勒索软件被执行后,会创建大量赎金记录:


readme.blacksuit.txt勒索信内容:

时间线

钻石模型

IoCs

Atomic

SystemBC C2
  137.220.61[.]94

Cobalt Strike C2
  svchorst[.]com        - 15.197.130[.]221
  as.regsvcast[.]com    - 147.78.47[.]178
  zx.regsvcast[.]com    - 147.78.47[.]178
  qw.regsvcast[.]com    - 147.78.47[.]178

Computed

RtWin64.exe - Cobalt Strike Beacon
  md5:b5266cd35d1b3770b05  ad6870c0c4bde 
  sha1:2bb6c8b6461edc49e22f3d0c7dc45904b2ed8a2b
  sha256:55cde638e9bcc335c79c605a564419819abf5d569c128b95b005b2f48ccc43c1
  imphash:6015e6e85d0d93e60041fa68c6a89776

7f02ab2.exe - Cobalt Strike Beacon 
  md5:3bf1142b3294c23852852053135ec0df 
  sha1:a3b617eb4248aba34c28c48886116ac97e55e932
  sha256:6c884e4a9962441155af0ac8e7eea4ac84b1a8e71faee0beafc4dd95c4e4753f  
  imphash:1b2b0fc8f126084d18c48b4f458c798b

7341ac3.exe - Cobalt Strike Beacon
  md5:519dc779533b4ff0fc67727fecadba82 
  sha1:586ea19ea4776300962e20cfc9e7017a50888ecb
  sha256:a39dc30bd672b66dc400f4633dfa4bdd289b5e79909c2e25e9c08b44d99b8953
  imphash:1b2b0fc8f126084d18c48b4f458c798b

61185c1.exe - Cobalt Strike Beacon
  md5:820cfde780306e759bb434da509f7a91 
  sha1:4e38b98965a4d4756e6f4a8259df62cbca7de559
  sha256:e92912153cf82e70d52203a1a5c996e68b7753818c831ac7415aedbe6f3f007d
  imphash:1b2b0fc8f126084d18c48b4f458c798b

b7bcee8.exe - Cobalt Strike Beacon
  md5:b54240c98ca23202e58a1580135ad14c 
  sha1:cd55256904f1964b90b51089b46f1a933fec3e8e
  sha256:27e300fa67828d8ffd72d0325c6957ff54d2dc6a060bbf6fc7aa5965513468e0
  imphash:bed5688a4a2b5ea6984115b458755e90

e225857.exe - Cobalt Strike Beacon
  md5:3900ebc7766f3894fb1eb300460376ad 
  sha1:e63732fb38d2e823348529a264b4c4718e0c0b4a
  sha256:f474241a5d082500be84a62f013bc2ac5cde7f18b50bf9bb127e52bf282fffbf
  imphash:bed5688a4a2b5ea6984115b458755e90

7341ac3.exe - Cobalt Strike Beacon
  md5:519dc779533b4ff0fc67727fecadba82 
  sha1:586ea19ea4776300962e20cfc9e7017a50888ecb
  sha256:a39dc30bd672b66dc400f4633dfa4bdd289b5e79909c2e25e9c08b44d99b8953
  imphash:1b2b0fc8f126084d18c48b4f458c798b

AdFind.exe 
  md5:9b02dd2a1a15e94922be3f85129083ac
  sha1:2cb6ff75b38a3f24f3b60a2742b6f4d6027f0f2a
  sha256:b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682
  imphash:4fbf3f084fbbb2470b80b2013134df35

SharpHound.exe
  md5:76a2363d509cc7174c4abee9a7d7ae68
  sha1:286588a50b9b128d07aa0f8851f2d7ee91dfa372
  sha256:3b873bc8c7ee12fe879ab175d439b5968c8803fbb92e414de39176e2371896b2
  imphash:f34d5f2d4577ed6d9ceec516c1f5a744

socks32.exe
  md5:ed44877077716103973cbbebd531f38e
  sha1:ceb8c699a57193aa3be2a1766b03050cde3c738a
  sha256:9493b512d7d15510ebee5b300c55b67f9f2ff1dda64bddc99ba8ba5024113300
  imphash:d66000edfed0a9938162b2b453ffa516

qwe.exe
  md5:0bb61c0cff022e73b7c29dd6f1ccf0e2
  sha1:8dde03600a18a819b080a41effc24f42fa960a3e
  sha256:60dcbfb30802e7f4c37c9cdfc04ddb411060918d19e5b309a5be6b4a73c8b18a
  imphash:ecc488e51fbb2e01a7aac2b35d5f10bd

Detections

Network

ET CURRENT_EVENTS [Fireeye] HackTool.TCP.Rubeus.[nonce]
ET CURRENT_EVENTS [Fireeye] HackTool.TCP.Rubeus.[nonce 2]
ET Threatview.io High Confidence Cobalt Strike C2 IP group 3
ET Threatview.io High Confidence Cobalt Strike C2 IP group 2
ET POLICY SMB Executable File Transfer
ET RPC DCERPC SVCCTL - Remote Service Control Manager Access
ET POLICY SMB2 NT Create AndX Request For a .bat File
ET POLICY SMB2 NT Create AndX Request For an Executable File In a Temp Directory
ET POLICY Powershell Command With Hidden Window Argument Over SMB - Likely Lateral Movement
ET POLICY PE EXE or DLL Windows file download HTTP

Sigma

detection.fyi 或 sigmasearchengine.com 上的搜索规则
DFIR 公共规则存储库:

50046619-1037-49d7-91aa-54fc92923604 : AdFind Discovery

DFIR 私有规则:

03be05e6-4977-44cd-8ee4-a79400a5ceb0 : Detection of Cobalt Strike Execution
ded07dbe-bcd4-4d15-a27b-1669445d3215 : Enabling RDP service via reg.exe command execution
feee5785-1381-4119-95d0-ca0c3fffe2f2 : Potential Kerberoasting Attack Detected
f8fd3970-d558-40c8-86e2-a989cd53daea : RDP Session from Host with Default Hostname
194e0132-ddee-433c-ac98-3e544c5a2a3a : Suspicious Powershell Execution in Run Key

Sigma 存储库:

903076ff-f442-475a-b667-4f246bcc203b : Nltest.EXE Execution
5cc90652-4cbd-4241-aa3b-4b462fa5a248 : Potential Recon Activity Via Nltest.EXE
9a132afa-654e-11eb-ae93-0242ac130002 : PUA - AdFind Suspicious Execution
d5601f8c-b26f-4ab0-9035-69e11a8d4ad2 : CobaltStrike Named Pipe
496a0e47-0a33-4dca-b009-9e6ca3591f39 : Suspicious Kerberos RC4 Ticket Encryption
8eef149c-bd26-49f2-9e5a-9b00e3af499b : Pass the Hash Activity 2
f376c8a7-a2d0-4ddc-aa0c-16c17236d962 : HackTool - Bloodhound/Sharphound Execution
02773bed-83bf-469f-b7ff-e676e7d78bab : BloodHound Collection Files
0d894093-71bc-43c3-8c4d-ecfc28dcf5d9 : Mimikatz Detection LSASS Access
a18dd26b-6450-46de-8c91-9659150cf088 : Potentially Suspicious GrantedAccess Flags On LSASS
098d7118-55bc-4912-a836-dc6483a8d150 : Access To ADMIN$ Network Share
61a7697c-cb79-42a8-a2ff-5f0cdfae0130 : Potential CobaltStrike Service Installations - Registry
1d61f71d-59d2-479e-9562-4ff5f4ead16b : Suspicious Service Installation
4aafb0fa-bff5-4b9d-b99e-8093e659c65f : Writing Local Admin Share
ca2092a1-c273-4878-9b4b-0d60115bf5ea : Suspicious Encoded PowerShell Command Line
0ef56343-059e-4cb6-adc1-4c3c967c5e46 : Suspicious Execution of Systeminfo
bbb7e38c-0b41-4a11-b306-d2a457b7ac2b : Suspicious File Created In PerfLogs
3dfd06d2-eaf4-4532-9555-68aca59f57c4 : Process Execution From A Potentially Suspicious Folder
0d5675be-bc88-4172-86d3-1e96a4476536 : Potential Tampering With RDP Related Registry Keys Via Reg.EXE

Yara

文件扫描结果:
DFIR 报告:
https://github.com/The-DFIR-Report/Yara-Rules/compare/26364
https://github.com/search?q=repo%3AThe-DFIR-Report%2FYara-Rules+get-data&type=code
https://github.com/search?q=repo%3AThe-DFIR-Report%2FYara-Rules%20netscan&type=code
YARA ForgeYARA Forge

DITEKSHEN_MALWARE_Win_EXEPWSH_Dlagent
ELASTIC_Windows_Trojan_Cobaltstrike_1787Eef5
ELASTIC_Windows_Trojan_Cobaltstrike_7F8Da98A
EMBEERESEARCH_Win_Cobaltstrike_Pipe_Strings_Nov_2023
GCTI_Cobaltstrike_Resources_Artifact64_V3_14_To_V4_X

内存扫描结果:

HKTL_CobaltStrike_SleepMask_Jul22
CobaltStrike_Sleep_Decoder_Indicator
Windows_Trojan_CobaltStrike_b54b94ac
HKTL_CobaltStrike_Beacon_4_2_Decrypt
CobaltStrike_Sleeve_Beacon_x64_v4_4_v_4_5_and_v4_6
Windows_Trojan_CobaltStrike_663fc95d
Windows_Trojan_CobaltStrike_3dc22d14
HKTL_CobaltStrike_Beacon_Strings
HKTL_Win_CobaltStrike
SUSP_PS1_JAB_Pattern_Jun22_1
WiltedTulip_WindowsTask
CobaltStrike_Resources_Command_Ps1_v2_5_to_v3_7_and_Resources_Compress_Ps1_v3_8_to_v4_x
Cobaltbaltstrike_Payload_Encoded
Msfpayloads_msf_ref
CobaltStrike_Resources_Template_x64_Ps1_v3_0_to_v4_x_excluding_3_12_3_13
Windows_Shellcode_Generic_8c487e57
Cobaltbaltstrike_RAW_Payload_smb_stager_x86
Windows_Trojan_Metasploit_38b8ceec
CobaltStrike_Resources_Smbstager_Bin_v2_5_through_v4_x
Windows_Trojan_CobaltStrike_f0b627fc
CobaltStrike_Sleeve_BeaconLoader_HA_x64_o_v4_3_v4_4_v4_5_and_v4_6
CobaltStrike_C2_Encoded_XOR_Config_Indicator
SUSP_XORed_Mozilla
SUSP_PowerShell_IEX_Download_Combo
CobaltStrike_Sleeve_Beacon_Dll_v4_3_v4_4_v4_5_and_v4_6
Windows_Trojan_Metasploit_7bc0f998
Windows_Trojan_Metasploit_c9773203

规则作者:
[email protected]
Elastic SecurityElastic 安全
[email protected]
[email protected]
Florian Roth (Nextron Systems)弗洛里安·罗斯 (Nextron Systems)
Avast Threat Intel Team

MITRE ATT&CK

Abuse Elevation Control Mechanism - T1548
Archive Collected Data - T1560
AS-REP Roasting - T1558.004
Data Encrypted for Impact - T1486
Domain Groups - T1069.002
Domain Trust Discovery - T1482
Inhibit System Recovery - T1490
Kerberoasting - T1558.003
LSASS Memory - T1003.001
Malicious File - T1204.002
Modify Registry - T1112
PowerShell - T1059.001
Process Injection - T1055
Proxy - T1090
Registry Run Keys / Startup Folder - T1547.001
Remote Desktop Protocol - T1021.001
Remote System Discovery - T1018
Security Software Discovery - T1518.001
Service Execution - T1569.002
SMB/Windows Admin Shares - T1021.002
Software Discovery - T1518
System Information Discovery - T1082
Web Protocols - T1071.001
Windows Command Shell - T1059.003
Pass the Hash - T1550.002

文章来源: https://mp.weixin.qq.com/s?__biz=MzkzMDE3ODc1Mw==&mid=2247488539&idx=1&sn=070b7bcbefa9bb5c2ef426dcfc2b34c7&chksm=c27f67b5f508eea3b3e3cca3f1c804c9c7b96b18561fc8de74824201b0058beaf3f462ef72b1&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh