Incident Response

Intelligence Report
07

Hanoi, March 2022

MỤC LỤC

1 INCIDENT TIMELINE ................................................................................ 2

2 MITRE ATT&CK ............................................................................................. 3
2.1 RESOURCE DEVELOPMENT ..................................................................... 3
2.2 INITIAL ACCESS .............................................................................................. 3
2.3 EXECUTION ...................................................................................................... 4
2.4 PERSISTENCE .................................................................................................. 4
2.5 PRIVILEGE ESCALATION............................................................................. 5
2.6 DEFENSE EVASION ...................................................................................... 5
2.7 DISCOVERY ...................................................................................................... 7
2.8 LATER MOVEMENT..................................................................................... 10
3 INDICATORS OF COMPROMISE .................................................... 10

1
Timeline Hành vi thực hiện
07/03/2022 14:19 Đăng nhập thành công vào máy chủ 10.1.10.17 từ
workstation name WIN-H9JGL16O4U9 bằng tài khoản
domain admin
08/03/2022 14:34 Đăng nhập thành công vào máy chủ 10.1.10.17 từ
workstation name WIN-H9JGL16O4U9 bằng tài khoản
domain admin
11/03/2022 14:29 Đăng nhập thành công vào máy chủ 10.1.10.17 từ
workstation name WIN-H9JGL16O4U9 bằng tài khoản
domain admin
11/03/2022 14:31 Drop mã độc appmgmt.dll xuống đường dẫn
admin$\\system32
11/03/2022 14:33 Thực thi mã độc. Load vào tiến trình svchost.exe
11/03/2022 14:34 Thu thập cấu hình mạng. Kiểm tra kết nối outbound
11/03/2022 14:36 Thu thập thông tin người dùng, admin trong máy chủ,
admin domain
11/03/2022 14:39 Thu thập thông tin tiến trình trên hệ thống
11/03/2022 14:40 Thu thập thông tin ổ đĩa
11/03/2022 14:48 Thu thập thông tin các đường dẫn share. Kiểm tra kết nối
tới AD, VCENTER, WSUS
11/03/2022 14: 49 Xóa log System và Security

2
Kẻ tấn công phát triển mã độc dưới định dạng DLL, mã độc cho phép kẻ tấn công
gửi nhận dữ liệu.

Filename: appmgmt.dll

SHA256: fad92529dfffcec6b4f22e1b782a844065586d8d455ec4579f70fe0a8e9ffdc5

3
Kẻ tấn công sử dụng tài khoản VPN để có quyền truy cập ban đầu (initial access)
vào hệ thống nội bộ

Valid Accounts: Domain Accounts - T1078.002

Kẻ tấn công sử dụng tài khoản domain admin để truy cập vào máy chủ file server,
drop, thực thi mã độc và các câu lệnh thu thập thông tin hệ thống trên máy chủ
bị tấn công.

Command and Scripting Interpreter: Windows Command Shell - T1059.003

Kẻ tấn công sử dụng tiến trình cmd.exe để thực hiện các hành vi thu thập thông
tin hệ thống.

Native API - T1106

Mã độc sử dụng các hàm API như CreateThread, CreatePipe, WinExec, v.v….

Valid Accounts: Domain Accounts - T1078.002

Kẻ tấn công sử dụng tài khoản domain admin để truy cập vào máy chủ file server,
drop, thực thi mã độc và các câu lệnh thu thập thông tin hệ thống trên máy chủ
bị tấn công

Kẻ tấn công sử dụng tài khoản VPN để có quyền truy cập ban đầu (initial access)
vào hệ thống nội bộ.

4
Kẻ tấn công tạo service nhằm mục đích persistence

Kẻ tấn công tạo service nhằm mục đích persistence

Kẻ tấn công inject DLL độc hại Appmgmt vào tiến trình svchost.exe

Valid Accounts: Domain Accounts - T1078.002

Kẻ tấn công sử dụng tài khoản domain admin để truy cập vào máy chủ file server,
drop, thực thi mã độc và các câu lệnh thu thập thông tin hệ thống trên máy chủ
bị tấn công

Kẻ tấn công inject DLL độc hại Appmgmt vào tiến trình svchost.exe

Valid Accounts: Domain Accounts - T1078.002

5
Kẻ tấn công sử dụng tài khoản domain admin để truy cập vào máy chủ file server,
drop, thực thi mã độc và các câu lệnh thu thập thông tin hệ thống trên máy chủ
bị tấn công.

Indicator Removal on Host: Clear Windows Event Logs - T1070.001

Trên máy chủ 10.10.32.31 và 10.10.32.11, kẻ tấn công thực hiện xóa Windows Event
Logs thông qua 2 câu lệnh

"/c ""wevtutil cl system"""

"/c ""wevtutil cl security"""

Kẻ tấn công thay đổi cấu hình Registry, trỏ đến đường dẫn của file mã độc
Appmgmt

Ngoài ra, mã độc cũng thêm ghi thêm key trong registry, cấu hình firewall cho
phép kết nối thông qua giao thức UDP

6
Impair Defenses: Disable or Modify Tools - T1562.001

Kẻ tấn công sử dụng tiến trình taskill để kill tiến trình cmd.exe (cmd.exe có PID là
520)

/c taskkill /t /f /pid 520

Impair Defenses: Disable or Modify Tools - T1562.004

Kẻ tấn công sử dụng mã độc để thay đổi cấu hình firewall

v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=%d|Name=Core
Networking - RRAS-L2UP|

Masquerading: Match Legitimate Name or Location - T1036.005

Kẻ tấn công giả mạo file Appmgmts của hệ thống bằng cách drop xuống file
Appmgmt xuống đường dẫn C:\Windows\System32.

System Service Discovery - T1007

Kẻ tấn công sử dụng tiến trình tasklist để thu thập thông tin về các services đang
chạy sử dụng câu lệnh

"/c ""tasklist /svc"""

System Network Configuration Discovery - T1016

Kẻ tấn công thu thập thông tin về cấu hình địa chỉ IP, cấu hình arp, network
interface trong máy chủ thông qua các câu lệnh:

"/c ""ipconfig"""

"/c ""ipconfig /all"""

"/c ""arp -a"""

"/c ""netsh interface show interface"""

7
System Network Configuration Discovery: Internet Connection Discovery -

Kẻ tấn công kiểm tra kết nối outbound, các kết nối tới máy chủ khác trong hệ
thống thông qua câu lệnh ping

"/c ""ping -n 1 8.8.8.8"""

"/c ""start cmd.exe /c ping"""

"/c ""ping -n 1 HNI-SVR-AD30"""

"/c ""ping -n 1 HNI-SVR-AD31"""

"/c ""ping -n 1 WSUS"""

"/c ""ping -n 1 VCENTER"""

"/c ""ping -n 1 VCENTER-SERVER"""

System Owner/User Discovery - T1033

Kẻ tấn công sử dụng câu lệnh quser để thu thập thông tin những người dùng
đang đăng nhập

"/c ""quser"""

System Network Connections Discovery - T1049

Kẻ tấn công thu thập các kết nối mạng từ máy chủ bị compromised thông qua
các câu lệnh:

"/c ""netstat -ano"""

"/c ""net start"""

"/c ""netstat -anop tcp"""

Process Discovery - T1057

Kẻ tấn công thu thập thông tin về các tiến trình đang chạy trong hệ thống thông
qua câu lệnh

8
"/c ""tasklist /v"""

System Information Discovery - T1082

Kẻ tấn công thu thập thông tin về hệ điều hành, phần cứng bao gồm thông tin
chi tiết về phiên bản, các bản vá và kiến trúc của hệ điều hành thông qua câu
lệnh

"/c ""systeminfo"""

File and Directory Discovery - T1083

Kẻ tấn công sử dụng câu lệnh dir để liệt kê file /thư mục cùng với các thuộc tính
của file/thư mục đó.

"/c ""dir c:\ /a"""

"/c ""dir c:\program"""

"/c ""dir /x e:\data"""

"/c ""dir /x e:\data\KhaiThacDauKhi"""

"/c ""dir /x e:\data\BANTON~1"""

"/c ""start cmd.exe /c dir /s /a /x e:\data\>>c:\windows\temp\2.tmp"""

"/c ""dir c:\windows\temp\2.tmp"""

Account Discovery: Local Account - T1087.001

Kẻ tấn công thu thập thông tin các tài khoản người dùng, tài khoản admin local
sử dụng trong hệ thống thông qua câu lệnh

"/c ""net user"""

"/c ""net localgroup adminsitrators"""

"/c ""net localgroup administrators"""

Account Discovery: Domain Account - T1087.002

9
Kẻ tấn công thu thập thông các tài khoản domain trong hệ thống

"/c ""net group ""domain controllers"" /domain"""

"/c ""net group ""domain admins"" /domain"""

"/c ""net group ""domain computers"" /domain"""

Network Share Discovery - T1135

Kẻ tấn công tìm kiếm, thu thập thông tin về folder shared, driver shared thông
qua câu lệnh

"/c ""net view"""

"/c ""net share"""

Kẻ tấn công sử dụng tài khoản bị compromised (account domain admin) để

đăng nhập và copy mã độc vào hệ thống file server (ADMIN$)

Filename: appmgmt.dll

Path: C:\Windows\system32\appmgmt.dll

SHA256: fad92529dfffcec6b4f22e1b782a844065586d8d455ec4579f70fe0a8e9ffdc5

Registry key

v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=%d|Name=Core
Networking - RRAS-L2UP|

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMg
mt\Parameters\

10
11