Lazarus 黑客组织发起“死亡笔记”攻击计划,目标(2)
时间:2023-04-15 11:26 来源:网络整理 作者:默认发布 点击:次
cmd.exe /c “键入“\[已编辑]SYSVOL[已编辑]Policies{6AC1786C-016F-11D2-945F-00C04fB984F9}MACHINEMicrosoftWindows NTSecEditGptTmpl.inf” 寻找高价值主机 为了找到连接的远程桌面主机,它使用 Windows 命令或从注册表中查询保存的服务器列表。 cmd.exe /c netstat -ano | 查找字符串 3389 cmd.exe /c reg query HKEY_USERSS-1-5- [redacted] -1001SoftwareMicrosoftTerminal Server ClientServers 利用 ADFind 工具获取 Active Directory 信息。 cmd.exe /c “%appdata%[redacted].xic -b dc=[redacted],dc=[redacted] -f “sAMAccountName=[redacted]” >> %temp%dm3349.tmp 2>&1″ 获取登录凭据 利用精心制作的 Mimikatz 转储登录凭据或使用Responder工具捕获凭据。 横向运动 在远程主机上启动命令的一种常见方法是使用 SMB 连接或 ServiceMove 技术等方法。 渗透 在通过 C2 通道发送被盗文件之前使用 WinRAR 压缩文件。 adobearm.exe a -hp1q2w3e4 -m5 -v2000000k “%Local AppData%AdobeSYSVOL800.CHK” “\[redacted]FILE02.[redacted]Projects[redacted] 概念演示” %appdata%USOSharedUSOShared.LOG1 a -hpb61de03de6e0451e834db6f185522bff -m5 “%appdata%USOSharedUSOShared.LOG2” “%appdata%ntuser.001.dat” DeathNote 攻击行动背后 在跟踪 DeathNote 攻击者及其来源后,安全专家确定幕后是 Lazarus 组织。 通过分析 DeathNote 恶意软件向受害者发送的 Windows 命令,发现大部分都是在格林威治标准时间 00:00 到 07:00 之间执行的,由此可以推断该演员位于 GMT+08 或 GMT+09 时区。 此外,演员留下了韩语评论“정상호출”,在C2剧本中翻译为“正常通话”。这进一步支持了Lazarus是韩语系攻击者的假设。 (责任编辑:admin) |