首页 科技正文

usdt接口开发(www.caibao.it):Conti勒索软件剖析

USDT自动API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

Conti勒索软件现身于去年7月,属于新兴的双重勒索软件阵营,在以勒索软件加密系统之前,会先下载未加密的隐秘资料,以在受害者拒绝支付赎金以换取解密密钥时,作为进一步的勒索筹码,已有部门案例显示有受害者最终是为了珍爱资料而选择支付赎金。

在2021年2月,趋势科技的研究职员收到了一系列与Conti勒索软件团伙攻击有关的可疑事宜的警报,这些事宜是由Trend Micro Vision One平台发现的。

Conti被以为是盛行的Ryuk勒索软件家族的变种,越来越多的攻击者现在通过与已往流传Ryuk相同的方式流传恶意软件。例如,Trickbot/Emotet和BazarLoader现在都被用来流传Conti。

这篇文章讨论了若何使用Cobaltstrike(研究职员称之为Cobalt/Cobeacon恶意软件家族),以及研究职员若何使用Vision One平台来跟踪这种威胁。

这些攻击是通过Workbench平台的事情台面板发现的,客户组织的soc和MDR研究职员都可以接见该事情台面板。它可以用来辅助响应正在举行的事宜,以及为正在举行的平安观察添加上下文。

Vision One模子掷中

在这个事情台警报中,研究职员可以看到sys64.dll (Cobaltstrike信标)被下令在远程盘算机上执行。父历程是winlogon.exe,通常用于处置与登录有关的义务。这使得sys64.dll的启动异常可疑。

Vision One模子掷中

第二个警报与第一个警报类似,然则它不运行sys64.dll,而是执行vd.exe,这也是Cobaltstrike信标文件。下令如下:

使用Search App检查事宜后,研究职员看到这些系统可执行文件正在使用Cobaltstrike信标代码(vd.exe)举行历程注入,如跟踪事宜“ 701 – TELEMETRY_MODIFIED_PROCESS_CREATE_REMOTETHREAD”所示。

注入Cobaltstrike信标代码的跟踪剖析事宜

Vision One模子掷中

然后,攻击者实验使用ntdsutil转储域密码哈希,将效果保留为c:\windows\temp\abc以备以后使用:

Vision One模子掷中

此时,攻击者并没有立刻举行任何进一步的恶意流动。几个小时后,他们最先部署Conti勒索软件的有用载荷,趋势科技的Predictive Machine Learning立刻检测到了该载荷。当前检测到文件xx.dll为Ransom.Win64.CONTI.A。

Vision One模子掷中

在举行CONTI勒索软件部署之后,在多个终端上检测到勒索纪录。

现在尚不清晰Cobaltstrike信标的流传目的,研究职员使用Vision One的差异功效可以更深入地研究了这个问题

使用Vision One的Observed Attack Techniques (OAT) 应用程序,研究职员注重到今年2月11日和12日,几个终端才最先向Vision One发送数据。一旦研究职员检查了更多的遥测手艺,便可以确认是这种情形。

通过Vision One查看检测效果

趋势科技的智能珍爱网络提供的反馈显示,2月4日该组织可能探测到Cobaltstrike信标。这可能是第一次试图渗透到未取得最初乐成的组织。

2月4日的反馈

除了这个潜在的攻击之外,研究职员无法确定最初攻击使用的任何特定方式。攻击者可能已经对未受珍爱或未被监视的终端提议了攻击。

对事宜的响应

,

usdt收款平台

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

正如我们前面提到的,他们正通过对终端举行进一步的珍爱来缓解攻击。攻击者似乎意识到了这一点。作为回应,他们决议尽快发送敏感信息。

OAT应用程序显示了一些与“很少接见的IP地址”相关的Vision One过滤器匹配,睁开详细信息,可以显示它们存储失贼数据的位置。

很少接见的IP地址警报

开源工具“Rclone”通常用于将文件同步到指定的云存储提供商。在这次事宜中,攻击者使用该工具上传文件到Mega云存储。

有关Rclone的警报

其他Cobalt/Cobeacon变种在勒索软件事宜发生几天后又陆续被发现,这解释攻击者仍然可以接见不受珍爱的终端。

与Cobaltstrike有关的警报

Cobaltstrike横向移动手艺

现在,观察后的时间表如下所示:

Conti / Cobaltstrike攻击的时间表

现在,研究职员将简要形貌Cobaltstrike若何能够在网络上流传自我并举行Conti勒索软件流传。

依附其从LSASS接见和转储凭证哈希的功效,它可以恢复密码并将其用于进一步的移动。

挪用lsass.exe的下令

Cobalt/Cobeacon使用cmd.exe复制下令将文件发送到远程驱动器。它可以直接从注入的历程(包罗winlogon.exe,wininit.exe和wusa.exe)发出,也可以使用批处置剧本作为添加层。

从注入的历程挪用cmd.exe下令

通过批处置文件/剧本执行

通常将这些组件下载到以下路径中:

在远程终端上,文件确立历程将由ntoskrnl.exe启动。这种行为可以与其他Cobalt/Cobeacon行为配对,以检查违规情形,或仅用于监视通过此方式确立的文件,该方式试图将文件保留在可疑路径中。

通过ntoskrnl.exe执行

当它在远程终端上发送死令来执行自身的副本时,也是云云。

在远程终端上执行

除了使用设计义务之外,它还使用WMI下令来运行自身的DLL或EXE副本,如图2所示。

使用WMI运行其自身的副本

本文翻译自:https://www.trendmicro.com/en_us/research/21/c/vision-one-tracking-conti-ransomware.html:
版权声明

本文仅代表作者观点,
不代表本站三公开船|三公大吃小的立场。
本文系作者授权发表,未经许可,不得转载。

评论

精彩评论

站点信息

  • 文章总数:2540
  • 页面总数:0
  • 分类总数:16
  • 标签总数:1705
  • 评论总数:2343
  • 浏览总数:546984