Professional Documents
Culture Documents
Intelligence Report
07
1
Timeline Hành vi thực hiện
07/03/2022 14:19 Đăng nhập thành công vào máy chủ 10.1.10.17 từ
workstation name WIN-H9JGL16O4U9 bằng tài khoản
domain admin
08/03/2022 14:34 Đăng nhập thành công vào máy chủ 10.1.10.17 từ
workstation name WIN-H9JGL16O4U9 bằng tài khoản
domain admin
11/03/2022 14:29 Đăng nhập thành công vào máy chủ 10.1.10.17 từ
workstation name WIN-H9JGL16O4U9 bằng tài khoản
domain admin
11/03/2022 14:31 Drop mã độc appmgmt.dll xuống đường dẫn
admin$\\system32
11/03/2022 14:33 Thực thi mã độc. Load vào tiến trình svchost.exe
11/03/2022 14:34 Thu thập cấu hình mạng. Kiểm tra kết nối outbound
11/03/2022 14:36 Thu thập thông tin người dùng, admin trong máy chủ,
admin domain
11/03/2022 14:39 Thu thập thông tin tiến trình trên hệ thống
11/03/2022 14:40 Thu thập thông tin ổ đĩa
11/03/2022 14:48 Thu thập thông tin các đường dẫn share. Kiểm tra kết nối
tới AD, VCENTER, WSUS
11/03/2022 14: 49 Xóa log System và Security
2
Kẻ tấn công phát triển mã độc dưới định dạng DLL, mã độc cho phép kẻ tấn công
gửi nhận dữ liệu.
Filename: appmgmt.dll
SHA256: fad92529dfffcec6b4f22e1b782a844065586d8d455ec4579f70fe0a8e9ffdc5
3
Kẻ tấn công sử dụng tài khoản VPN để có quyền truy cập ban đầu (initial access)
vào hệ thống nội bộ
Kẻ tấn công sử dụng tài khoản domain admin để truy cập vào máy chủ file server,
drop, thực thi mã độc và các câu lệnh thu thập thông tin hệ thống trên máy chủ
bị tấn công.
Kẻ tấn công sử dụng tiến trình cmd.exe để thực hiện các hành vi thu thập thông
tin hệ thống.
Mã độc sử dụng các hàm API như CreateThread, CreatePipe, WinExec, v.v….
Kẻ tấn công sử dụng tài khoản domain admin để truy cập vào máy chủ file server,
drop, thực thi mã độc và các câu lệnh thu thập thông tin hệ thống trên máy chủ
bị tấn công
Kẻ tấn công sử dụng tài khoản VPN để có quyền truy cập ban đầu (initial access)
vào hệ thống nội bộ.
4
Kẻ tấn công tạo service nhằm mục đích persistence
Kẻ tấn công inject DLL độc hại Appmgmt vào tiến trình svchost.exe
Kẻ tấn công sử dụng tài khoản domain admin để truy cập vào máy chủ file server,
drop, thực thi mã độc và các câu lệnh thu thập thông tin hệ thống trên máy chủ
bị tấn công
Kẻ tấn công inject DLL độc hại Appmgmt vào tiến trình svchost.exe
5
Kẻ tấn công sử dụng tài khoản domain admin để truy cập vào máy chủ file server,
drop, thực thi mã độc và các câu lệnh thu thập thông tin hệ thống trên máy chủ
bị tấn công.
Trên máy chủ 10.10.32.31 và 10.10.32.11, kẻ tấn công thực hiện xóa Windows Event
Logs thông qua 2 câu lệnh
Kẻ tấn công thay đổi cấu hình Registry, trỏ đến đường dẫn của file mã độc
Appmgmt
Ngoài ra, mã độc cũng thêm ghi thêm key trong registry, cấu hình firewall cho
phép kết nối thông qua giao thức UDP
6
Impair Defenses: Disable or Modify Tools - T1562.001
Kẻ tấn công sử dụng tiến trình taskill để kill tiến trình cmd.exe (cmd.exe có PID là
520)
v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=%d|Name=Core
Networking - RRAS-L2UP|
Kẻ tấn công giả mạo file Appmgmts của hệ thống bằng cách drop xuống file
Appmgmt xuống đường dẫn C:\Windows\System32.
Kẻ tấn công sử dụng tiến trình tasklist để thu thập thông tin về các services đang
chạy sử dụng câu lệnh
Kẻ tấn công thu thập thông tin về cấu hình địa chỉ IP, cấu hình arp, network
interface trong máy chủ thông qua các câu lệnh:
"/c ""ipconfig"""
7
System Network Configuration Discovery: Internet Connection Discovery -
Kẻ tấn công kiểm tra kết nối outbound, các kết nối tới máy chủ khác trong hệ
thống thông qua câu lệnh ping
Kẻ tấn công sử dụng câu lệnh quser để thu thập thông tin những người dùng
đang đăng nhập
"/c ""quser"""
Kẻ tấn công thu thập các kết nối mạng từ máy chủ bị compromised thông qua
các câu lệnh:
Kẻ tấn công thu thập thông tin về các tiến trình đang chạy trong hệ thống thông
qua câu lệnh
8
"/c ""tasklist /v"""
Kẻ tấn công thu thập thông tin về hệ điều hành, phần cứng bao gồm thông tin
chi tiết về phiên bản, các bản vá và kiến trúc của hệ điều hành thông qua câu
lệnh
"/c ""systeminfo"""
Kẻ tấn công sử dụng câu lệnh dir để liệt kê file /thư mục cùng với các thuộc tính
của file/thư mục đó.
Kẻ tấn công thu thập thông tin các tài khoản người dùng, tài khoản admin local
sử dụng trong hệ thống thông qua câu lệnh
9
Kẻ tấn công thu thập thông các tài khoản domain trong hệ thống
Kẻ tấn công tìm kiếm, thu thập thông tin về folder shared, driver shared thông
qua câu lệnh
Filename: appmgmt.dll
Path: C:\Windows\system32\appmgmt.dll
SHA256: fad92529dfffcec6b4f22e1b782a844065586d8d455ec4579f70fe0a8e9ffdc5
Registry key
v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=%d|Name=Core
Networking - RRAS-L2UP|
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMg
mt\Parameters\
10
11