ក្រុម Hunters' AXON បានរកឃើញ និងកំពុងតាមដានយ៉ាងសកម្មនូវយុទ្ធនាការគំរាមកំហែងដែលកំពុងដំណើរការដែលត្រូវបានគេហៅថា "VEILDrive"។ បានរកឃើញដំបូងក្នុងអំឡុងពេលស៊ើបអង្កេតអំពីសកម្មភាពព្យាបាទនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់អតិថិជន VEILDrive ប្រើប្រាស់ឈុត SaaS របស់ Microsoft ជាពិសេស Teams, SharePoint, Quick Assist និង OneDrive-to អនុវត្តយុទ្ធសាស្ត្ររបស់ខ្លួនដោយឯកឯង អ្នកគំរាមកំហែងប្រើ ក វិធីសាស្ត្រ Command & Control (C&C) ដែលមានមូលដ្ឋានលើ OneDrive ដែលបានបង្កប់នៅក្នុងមេរោគផ្ទាល់ខ្លួន ដែលត្រូវបានដាក់ឱ្យប្រើប្រាស់នៅលើបរិស្ថានដែលត្រូវបានសម្របសម្រួល ការវិភាគរបស់យើងបង្ហាញពីប្រភពដើមជាភាសារុស្សីសម្រាប់យុទ្ធនាការនេះ ហើយចាប់តាំងពីពេលនោះមក Team AXON បានជូនដំណឹងដល់ Microsoft និងស្ថាប័នដែលរងផលប៉ះពាល់ដើម្បីកាត់បន្ថយការកេងប្រវ័ញ្ចបន្ថែមទៀត។
ការស្រាវជ្រាវរបស់យើងបានចាប់ផ្តើមនៅក្នុងខែកញ្ញា ឆ្នាំ 2024 បន្ទាប់ពីការឆ្លើយតបទៅនឹងការវាយប្រហារលើអង្គភាពហេដ្ឋារចនាសម្ព័ន្ធដ៏សំខាន់មួយនៅក្នុងសហរដ្ឋអាមេរិក។ បច្ចេកទេសវាយប្រហាររបស់ VEILDrive ខុសគ្នាដាច់ពីឥរិយាបថគំរាមកំហែងធម្មតា។ ពួកគេពឹងផ្អែកយ៉ាងខ្លាំងលើហេដ្ឋារចនាសម្ព័ន្ធ SaaS របស់ Microsoft ដើម្បីចែកចាយយុទ្ធនាការ spear-phishing និងរក្សាទុកកម្មវិធីព្យាបាទ។ យុទ្ធសាស្រ្តដែលពឹងផ្អែកលើ SaaS នេះធ្វើឱ្យស្មុគស្មាញដល់ការរកឃើញក្នុងពេលជាក់ស្តែង និងឆ្លងកាត់ការការពារធម្មតា។
មេរោគដែលភ្ជាប់ជាមួយ VEILDrive គឺជាឯកសារ .jar ដែលមានមូលដ្ឋានលើ Java ដែលគួរឱ្យកត់សម្គាល់ខ្វះការយល់ច្រឡំ ដែលធ្វើឱ្យវាអាចអានមិនធម្មតា និងមានរចនាសម្ព័ន្ធល្អ។ ទោះបីជាវាមានភាពសាមញ្ញក៏ដោយ មេរោគនេះបានគេចពីការរកឃើញដោយឧបករណ៍ Endpoint Detection and Response (EDR) លំដាប់កំពូល និងម៉ាស៊ីនសុវត្ថិភាពទាំងអស់នៅក្នុង VirusTotal ។ នេះបង្ហាញពីហានិភ័យដ៏សំខាន់មួយ៖ សូម្បីតែកូដមិនច្បាស់ និងមិនច្បាស់លាស់ក៏អាចគេចចេញពីយន្តការរាវរកទំនើប ដែលបង្ហាញពីតម្រូវការទូលំទូលាយដើម្បីពិនិត្យមើលឡើងវិញនូវយុទ្ធសាស្ត្ររាវរកនៅក្នុងបរិយាកាសដែលមានហានិភ័យខ្ពស់។
របាយការណ៍នេះផ្តល់នូវការយល់ដឹងអំពីវិធីសាស្រ្តរបស់ VEILDrive និងដែនកំណត់នៃវិធីសាស្រ្តនៃការរកឃើញបច្ចុប្បន្ន ដើម្បីបំពាក់សហគមន៍សន្តិសុខតាមអ៊ីនធឺណិតឱ្យកាន់តែប្រសើរឡើងប្រឆាំងនឹងការគំរាមកំហែងដែលកំពុងវិវត្ត។
នៅខែកញ្ញា ឆ្នាំ 2024 ក្រុម AXON បានឆ្លើយតបទៅនឹងឧប្បត្តិហេតុមួយ ដែលផ្តោតលើក្រុមហ៊ុនហេដ្ឋារចនាសម្ព័ន្ធដ៏សំខាន់មួយនៅក្នុងសហរដ្ឋអាមេរិក។ ការស៊ើបអង្កេតនេះបានបង្ហាញពីយុទ្ធនាការគំរាមកំហែងពិសេសមួយ "VEILDrive" ដែលបង្ហាញពីយុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធីមិនធម្មតា (TTPs) ដែលខុសពីធម្មតាដែលឃើញនៅក្នុងឧប្បត្តិហេតុស្រដៀងគ្នានេះ។
ផ្អែកលើការរកឃើញរបស់យើង យើងប៉ាន់ប្រមាណថាយុទ្ធនាការ VEILDrive បានចាប់ផ្តើមនៅដើមខែសីហា ឆ្នាំ 2024 ហើយនៅតែសកម្មដូចរបាយការណ៍នេះ។ ការប្រើប្រាស់សេវាកម្ម Microsoft SaaS រួមទាំងក្រុម, SharePoint, Quick Assist និង OneDrive - អ្នកវាយប្រហារបានទាញយកប្រយោជន៍ពីហេដ្ឋារចនាសម្ព័ន្ធដែលគួរឱ្យទុកចិត្តរបស់អង្គការដែលបានសម្របសម្រួលពីមុនដើម្បីចែកចាយការវាយប្រហារដោយលំពែង និងរក្សាទុកមេរោគ។ យុទ្ធសាស្ត្រផ្តោតលើពពកនេះ បានអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែង ជៀសវាងការរកឃើញដោយប្រព័ន្ធត្រួតពិនិត្យធម្មតា។
គួរកត់សម្គាល់ថា VEILDrive បានណែនាំវិធីសាស្ត្រ Command & Control (C&C) ដែលមានមូលដ្ឋានលើ OneDrive ដែលបង្កប់នៅក្នុងមេរោគដែលមានមូលដ្ឋានលើ Java ដែលត្រូវបានដាក់ពង្រាយនៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ មេរោគខ្លួនវា ឯកសារ .jar បង្ហាញលក្ខណៈពិសេសគួរឱ្យចាប់អារម្មណ៍ពីរ៖
លក្ខណៈទាំងនេះគូសបញ្ជាក់ថា ទោះបីជាមិនមានបច្ចេកទេសគេចវេសដ៏ទំនើបក៏ដោយ ការរៀបចំយ៉ាងប្រុងប្រយ័ត្ន មេរោគដែលមិនមានភាពច្របូកច្របល់អាចគេចផុតពីការការពារទំនើប។ ការស៊ើបអង្កេតនេះគូសបញ្ជាក់ពីគម្លាតនៅក្នុងយុទ្ធសាស្ត្ររាវរកបច្ចុប្បន្ន និងសង្កត់ធ្ងន់លើតម្រូវការសម្រាប់ការប្រុងប្រយ័ត្នប្រឆាំងនឹងវិធីសាស្ត្រវាយប្រហារដែលមិនសូវសាមញ្ញ។
ក្រុម AXON បានចែករំលែកការរកឃើញរបស់ខ្លួនជាមួយក្រុមហ៊ុន Microsoft និងអង្គការដែលរងផលប៉ះពាល់ ដោយផ្តល់ជូននូវការស៊ើបការណ៍សម្ងាត់ដែលអាចធ្វើសកម្មភាពដើម្បីកាត់បន្ថយការគំរាមកំហែងដែលកំពុងបន្តនេះ។
នៅដើមខែកញ្ញា ឆ្នាំ 2024 អតិថិជនម្នាក់របស់ Hunters ដែលហៅថា "Org C" បានភ្ជាប់ជាមួយក្រុម AXON សម្រាប់ការគាំទ្រក្នុងការដោះស្រាយឧប្បត្តិហេតុសកម្មមួយ។ ករណីនេះផ្តោតលើឧបករណ៍ជាក់លាក់មួយនៅក្នុង Org C ដែលត្រូវបានសម្របសម្រួលតាមរយៈវិស្វកម្មសង្គម។
កិច្ចការដែលបានកំណត់ពេលដែលបានបង្កើតគួរឱ្យសង្ស័យនៅលើឧបករណ៍របស់បុគ្គលិក Org C បានបង្កឱ្យមានការជូនដំណឹង ដោយជំរុញឱ្យមានការស៊ើបអង្កេតបន្ថែមទៀត។ តាមរយៈការភ្ជាប់កំណត់ហេតុ និងការទំនាក់ទំនងជាមួយអ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់ ក្រុមការងារបានបញ្ជាក់ពីវិធីសាស្ត្រនៃការចូលប្រើដំបូង។
ខាងក្រោមនេះគឺជាដ្យាក្រាមវាយប្រហារដែលផ្តល់នូវទិដ្ឋភាពទូទៅកម្រិតខ្ពស់នៃលំហូរការវាយប្រហារ៖
លំដាប់នៃព្រឹត្តិការណ៍បានលាតត្រដាងដូចខាងក្រោមៈ
តួអង្គព្យាបាទបានប្រើក្រុម Microsoft ដើម្បីផ្ញើសារទៅកាន់បុគ្គលិកដែលបានជ្រើសរើសចំនួន 4 នាក់នៅ Org C ដែលក្រៅពីមិនមានលក្ខណៈបច្ចេកទេសដោយផ្អែកលើតួនាទីរបស់ពួកគេ មិនមានទំនាក់ទំនងជាក់ស្តែងផ្សេងទៀតទេ។ អ្នកវាយប្រហារបានក្លែងធ្វើជាសមាជិកក្រុម IT ហើយបានស្នើសុំចូលប្រើប្រាស់ឧបករណ៍របស់បុគ្គលិកម្នាក់ៗតាមរយៈឧបករណ៍ Quick Assist remote utility tool។
ជាជាងប្រើគណនីដែលទើបបង្កើតថ្មីសម្រាប់ការក្លែងបន្លំ អ្នកវាយប្រហារបានប្រើប្រាស់គណនីអ្នកប្រើប្រាស់ដែលត្រូវបានសម្របសម្រួលពីជនរងគ្រោះមុនដែលមានសក្តានុពល ដែលហៅថា "Org A"។
កំណត់ហេតុសវនកម្ម M365 ត្រូវបានប្រើដើម្បីកំណត់អត្តសញ្ញាណក្រុម Microsoft Teams spear-phishing ។
ព្រឹត្តិការណ៍ “ MessageSent ” និង “ ChatCreated ” ជាច្រើនត្រូវបានកំណត់អត្តសញ្ញាណ ដែលទាំងអស់មានប្រភពចេញពីអ្នកប្រើប្រាស់ Org A ដែលត្រូវបានសម្របសម្រួលពីមុន ដែលជាកម្មសិទ្ធិរបស់តួអង្គគំរាមកំហែង។
ខណៈពេលដែលបុគ្គលិក 4 នាក់ត្រូវបានកំណត់គោលដៅ មានតែព្រឹត្តិការណ៍ " សមាជិកបន្ថែម " មួយប៉ុណ្ណោះដែលត្រូវបានកំណត់គោលដៅលើអ្នកប្រើប្រាស់ដែលត្រូវបានសម្របសម្រួលនៃ Org A ។
ការយល់ដឹងខាងលើគឺគួរឱ្យចាប់អារម្មណ៍ និងមានតម្លៃ ដែលបង្ហាញពីការកើនឡើងអត្រាប្រេវ៉ាឡង់នៃការបន្លំតាមរយៈក្រុម Microsoft និងឧបករណ៍ទំនាក់ទំនងស្រដៀងគ្នា។ ការបែងចែករវាងការប៉ុនប៉ងបន្លំដែលទទួលបានជោគជ័យ និងបរាជ័យដោយប្រើកំណត់ហេតុសវនកម្ម M365 រួមជាមួយនឹងការជាប់ទាក់ទងជាមួយកំណត់ហេតុ EDR អាចមានសារៈសំខាន់ខ្លាំងសម្រាប់ការស៊ើបអង្កេត។
សាររបស់ Microsoft Teams ទទួលបានដោយអ្នកប្រើប្រាស់គោលដៅនៃ Org C អាចធ្វើទៅបានដោយមុខងារ " External Access " របស់ Microsoft Teams ដែលអនុញ្ញាតឱ្យមានការប្រាស្រ័យទាក់ទងគ្នាមួយទល់មួយជាមួយស្ថាប័នខាងក្រៅណាមួយតាមលំនាំដើម។
អ្នកវាយប្រហារបានទាក់ទាញជនរងគ្រោះនៃ Org C ដោយជោគជ័យដើម្បីប្រតិបត្តិឧបករណ៍ជំនួយរហ័សរបស់ Microsoft និងផ្តល់ឱ្យពួកគេនូវលេខកូដចូលប្រើតាមរយៈ Microsoft Teams ។ នេះនាំឱ្យមានការចូលប្រើអន្តរកម្មរបស់តួអង្គគំរាមកំហែងទៅកាន់កុំព្យូទ័ររបស់ជនរងគ្រោះ។
បន្ទាប់មក តួអង្គគំរាមកំហែងបានចែករំលែកតំណទាញយកទៅកាន់ SharePoint នៃស្ថាប័នដាច់ដោយឡែកមួយ (ជនរងគ្រោះជាកម្មសិទ្ធិរបស់អ្នកជួលផ្សេងពីអ្នកដែលប្រើសម្រាប់ការបន្លំតាមរយៈការជជែករបស់ Microsoft Teams ដែលយើងនឹងហៅថា 'Org B')។ តំណភ្ជាប់នេះមានឯកសារ .zip ដែលការពារដោយពាក្យសម្ងាត់ដែលមានឈ្មោះថា Client_v8.16L.zip ដែលរួមបញ្ចូលឯកសារផ្សេងៗ ក្នុងចំណោមនោះមានឧបករណ៍ RMM បន្ថែម។
ឯកសារត្រូវបានទាញយក ទំនងជាតាមរយៈមធ្យោបាយអន្តរកម្ម ដោយអ្នកវាយប្រហារ-បានបំពាក់រួចជាស្រេចជាមួយនឹងការចូលប្រើពីចម្ងាយ-ដំណើរការក្រោមបរិបទនៃ explorer.exe ដែលអនុញ្ញាតឱ្យពួកគេចុចតំណ និងទាញយកឧបករណ៍តាមតម្រូវការ។
គួរកត់សម្គាល់ថាក្នុងអំឡុងពេលស៊ើបអង្កេត យើងបានទាក់ទងកំណត់ហេតុសវនកម្ម M365 ដែលផ្តល់ព័ត៌មានច្បាស់លាស់អំពី URLs ចូលនៅក្នុងសារ Microsoft Teams ជាមួយនឹងទូរលេខ EDR របស់ម្ចាស់ផ្ទះជនរងគ្រោះ ដើម្បីយល់ច្បាស់អំពី TTPs របស់អ្នកវាយប្រហារ។
ការប៉ុនប៉ងជាច្រើនត្រូវបានធ្វើឡើងដើម្បីអនុវត្តប្រតិបត្តិការព្យាបាទដោយដៃតាមរយៈការចូលប្រើពីចម្ងាយ។ សកម្មភាពទាំងនេះជាចម្បងពាក់ព័ន្ធនឹងការខិតខំប្រឹងប្រែងតស៊ូ ដូចជាការបង្កើតកិច្ចការដែលបានកំណត់ពេលដើម្បីប្រតិបត្តិម្តងហើយម្តងទៀតនូវឯកសារដែលបានទាញយកដោយអ្នកវាយប្រហារ ដែលជាឧបករណ៍ RMM ដែលមានឈ្មោះថា LiteManager ("ROMServer.exe")។
schtasks /Create /TN "Perfomance monitoring" /SC MINUTE /TR C:\ProgramData\500000003\ROMServer.exe
បន្ទាប់ពីសកម្មភាពខាងលើ តារាសម្ដែងបានទាញយកឯកសារ .zip មួយផ្សេងទៀតដែលមានឈ្មោះថា Cliento.zip.
ដូចពីមុន តំណភ្ជាប់ត្រូវបានចែករំលែកនៅក្នុងការជជែករវាងអ្នកប្រើប្រាស់ជនរងគ្រោះ និងតួអង្គគំរាមកំហែង។ ឯកសារ .zip នេះរួមបញ្ចូលមេរោគចម្បង .JAR ក៏ដូចជាកញ្ចប់អភិវឌ្ឍន៍ Java ទាំងមូល ដើម្បីប្រតិបត្តិមេរោគ .JAR ។
តួអង្គគំរាមកំហែងបានប្រតិបត្តិមេរោគ .JAR ដោយប្រើដូចខាងក្រោម៖ C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar
សកម្មភាពបណ្តាញជាច្រើន និងការប្រតិបត្តិពាក្យបញ្ជាត្រូវបានកំណត់នៅក្រោមបរិបទនៃឯកសារ .JAR ដែលមានគំនិតអាក្រក់ រួមមានៈ
សំណើ DNS ចេញជាច្រើន/សកម្មភាពបណ្តាញទៅកាន់ → safeshift390-my.sharepoint.com
សំណើ DNS ចេញជាច្រើន/សកម្មភាពបណ្តាញទៅកាន់ → graph.microsoft.com
សំណើ DNS ចេញជាច្រើន/សកម្មភាពបណ្តាញទៅកាន់ → login.microsoftonline.com
ការអនុវត្តពាក្យបញ្ជាចុះលេខមូលដ្ឋាន៖
Systeminfo
net time
Get-WmiObject -Class
Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID
{$_.interfacetype -eq \"USB\"}"
រូបថតអេក្រង់ខាងក្រោមបង្ហាញពីផ្នែកសំខាន់ៗនៃមែកធាងដំណើរការទាក់ទងនឹងសកម្មភាពព្យាបាទ៖
អ្នកវាយប្រហារក៏បានបន្ថែម JAR binary ព្យាបាទជា runkey នៅក្នុងបញ្ជីឈ្មោះសម្រាប់ការប្រតិបត្តិជាប់លាប់នៃមេរោគ Java ។
បន្ទាត់ពាក្យបញ្ជា៖
Set-ItemProperty -Path \"HKCU:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" -Name \"current\" -Value \"C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar\" -ErrorAction Stop"
ការទប់ស្កាត់ និងលុបបំបាត់ឧបទ្ទវហេតុនេះ គឺមានភាពរហ័ស និងមានប្រសិទ្ធភាពបំផុត ហើយបើតាមភស្តុតាងធ្វើកោសល្យវិច្ច័យ យើងមាន មិនមានការចង្អុលបង្ហាញថា ជនវាយប្រហារអាចបង្កការខូចខាតធ្ងន់ធ្ងរដល់ម្ចាស់ផ្ទះ និងអង្គភាពរបស់ជនរងគ្រោះនោះទេ។
ការយល់ដឹងដ៏សំខាន់មួយពីលំហូរនៃការវាយប្រហារដែលបានរៀបរាប់ខាងលើគឺថា អ្នកវាយប្រហារបានប្រើប្រាស់សេវាកម្ម Microsoft ដែលគេស្គាល់ និងប្រើជាទូទៅផ្សេងៗគ្នា ជាផ្នែកនៃការវាយប្រហាររបស់គាត់ ទាំងសម្រាប់ការលាក់ខ្លួននៅក្នុងទិដ្ឋភាពធម្មតា និងសម្រាប់ភាពងាយស្រួលរបស់ពួកគេផងដែរ។
ចូរយើងសង្ខេបយ៉ាងឆាប់រហ័សនូវសេវាកម្ម Microsoft ដែលប្រើដោយអ្នកគំរាមកំហែង ដោយឥឡូវនេះដោយប្រើតារាងខាងក្រោម៖
សេវាកម្ម | អ្នកជួល | គោលបំណង |
---|---|---|
ក្រុម Microsoft | ពី Org A ទៅ Org C | Spear Phishing Messages ដើម្បីទាក់ទាញជនរងគ្រោះឱ្យទាញយក និងប្រតិបត្តិឧបករណ៍គ្រប់គ្រងពីចម្ងាយ |
ជំនួយរហ័ស | អង្គការ គ | តួអង្គគំរាមកំហែងផ្ញើលេខកូដជំនួយរហ័សដោយប្រើសារ Microsoft Teams ដើម្បីទទួលបានការបញ្ជាពីចម្ងាយដំបូង |
SharePoint | ពី Org B ទៅ Org C | ឯកសារព្យាបាទត្រូវបាន "បង្ហោះ" នៅក្នុងអ្នកជួល SharePoint របស់ Org B ។ តំណទាញយកត្រូវបានចែករំលែកជាមួយ Org C តាមរយៈសារ SharePoint ហើយបើកដោយអ្នកវាយប្រហារដោយប្រើជំនួយរហ័ស |
API ក្រាហ្វ | ពី Org C ទៅ N/A | យើងមានការចង្អុលបង្ហាញអំពីការចូលប្រើកម្មវិធី Microsoft Graph (ក្រាហ្វ[.]microsoft[.]com) ដែលត្រូវបានផ្តួចផ្តើមដោយព្យាបាទ cliento.jar ។ |
នៅដំណាក់កាលនេះ យើងបានរកឃើញសេវាកម្ម/កម្មវិធី Microsoft ចំនួនបួនដែលបានរៀបរាប់ខាងលើ។ ខណៈពេលដែលយើងយល់ពីគោលបំណងនៃបីដំបូង សកម្មភាពដែលឆ្ពោះទៅរក Graph API នៅតែមិនច្បាស់លាស់។ យើងមានការសន្មត់ជាច្រើនអំពីគោលបំណងសក្តានុពលរបស់វា ប៉ុន្តែនៅក្នុងការឆ្លើយតបឧប្បត្តិហេតុ ការសន្មត់តែឯងមិនគ្រប់គ្រាន់ទេ តើវាឬ?
ដើម្បីប្រមូលព័ត៌មានបន្ថែម និងយល់កាន់តែច្បាស់អំពីមេរោគ .JAR 'Cliento.jar' នៅក្នុង OneDrive/SharePoint - ទាំងពីរដើម្បីវាយតម្លៃសកម្មភាពសក្តានុពលដែលធ្វើឡើងដោយអ្នកវាយប្រហារ និងដើម្បីទទួលបានការយល់ដឹងអំពីចេតនារបស់ពួកគេ - យើងបានបន្តការវិភាគលម្អិតនៃមេរោគនេះ។
យើងបានប្រើ Java Decompiler ដែលមានឈ្មោះថា "JDGUI" ដើម្បីបំបែកមេរោគ Client.jar (យើងដាក់ឈ្មោះថា "ODC2")។
គ្រាន់តែពីការមើលកម្រិតខ្ពស់ដំបូងនៅមេរោគ យើងអាចភ្ជាប់វាភ្លាមៗជាមួយនឹងការប្រតិបត្តិ PowerShell ដែលយើងបានឃើញនៅក្នុងការស៊ើបអង្កេតឧប្បត្តិហេតុ។ នេះគឺដោយសារតែការដាក់បញ្ចូលកញ្ចប់ Java “ jPowerShell ” ដែលជាកញ្ចប់ PowerShell សម្រាប់ Java ។
លើសពីនេះ យើងអាចមើលឃើញកញ្ចប់បន្ថែមដូចជា "ពាក្យបញ្ជា" "ការតភ្ជាប់" "កម្មវិធីបើកដំណើរការ" "ឬភ្ជាប់" ជាដើម។ វាផ្តល់ឱ្យយើងនូវការយល់ដឹងកម្រិតខ្ពស់អំពីរចនាសម្ព័ន្ធមេរោគ។
យើងបានចាប់ផ្តើមជាមួយនឹង Main.class ក្រោមកញ្ចប់ "launcher" ហើយបានរកឃើញសំណុំនៃ hard-code credentials ដែលប្រើដោយ malware។ នេះគឺជាការភ្ញាក់ផ្អើលបន្តិចសម្រាប់យើង ប៉ុន្តែគួរឱ្យចាប់អារម្មណ៍ខ្លាំងណាស់។
តាមរយៈការវិភាគបន្ថែមលើមេរោគ (ដូចបានរៀបរាប់ក្នុងការវិភាគលម្អិតខាងក្រោម) យើងបានរកឃើញថាមេរោគបានប្រើព័ត៌មានសម្គាល់អត្តសញ្ញាណទាំងនេះដើម្បីធ្វើការផ្ទៀងផ្ទាត់ "ក្នុងនាម" ទៅកាន់ Entra ID ។ ដើម្បីដំណើរការការផ្ទៀងផ្ទាត់នេះ សញ្ញាសម្ងាត់ធ្វើឱ្យស្រស់កូដរឹងត្រូវបានប្រើជាមួយលេខសម្គាល់អតិថិជន និងសម្ងាត់អតិថិជន ដើម្បីស្នើសុំនិមិត្តសញ្ញាចូលប្រើ។
ការផ្ទៀងផ្ទាត់បានអនុញ្ញាតឱ្យមេរោគចូលប្រើ OneDrive របស់អ្នកប្រើប្រាស់ Entra ID ជាក់លាក់ ដោយអ្នកជួលសន្មតថាជាកម្មសិទ្ធិរបស់តួអង្គ ដោយបំពានការចូលប្រើនេះសម្រាប់គោលបំណង C2 ។
នៅក្នុងមុខងារសំខាន់នៃ Main.class យើងអាចមើលឃើញចំណុចចូលដោយខ្លួនវាផ្ទាល់ ដែលរួមមាន threads ជាច្រើន។ វារួមបញ្ចូលទាំងការប្រតិបត្តិមុខងារ "odThread1" និង "mainThread1" ។
“odThread1” រួមបញ្ចូលទាំងការប្រតិបត្តិមុខងារ Controller “odRun” ដែលទទួលបានសំណុំដំបូងនៃ hardcoded credentials (Refresh Token ។ល។) សម្រាប់ការផ្ទៀងផ្ទាត់។
វាប្រើ "40.90.196.221" អាសយដ្ឋាន IP សម្រាប់ការដំឡើងការតភ្ជាប់ "odRun"
អាសយដ្ឋាន IP “40.90.196.228” សម្រាប់ “រត់” ចាប់ផ្តើមរន្ធ HTTPS ទៅកាន់ C2 របស់អ្នកវាយប្រហារ។ IP នេះគឺជា IP របស់ Azure ផងដែរ ហើយវាទំនងជាម៉ាស៊ីននិម្មិត។ ឆានែល C2 នេះ ដូចដែលបានរៀបរាប់ខាងក្រោមគឺ "បុរាណ" ច្រើនជាងមុន ហើយនាំទៅដល់ការប្រតិបត្តិពាក្យបញ្ជា PowerShell
ដើម្បីទទួលបានព័ត៌មានបន្ថែមអំពីអាសយដ្ឋាន IP ទាំងនេះ យើងបានពិនិត្យធនធានដែលគេស្គាល់ដូចជា ipinfo.io និងស្លាកសេវាកម្មនៃអាសយដ្ឋាន IP Azure ដែលបានបោះពុម្ពផ្សាយដោយ Microsoft ដូចដែលបានបង្ហាញក្នុងរូបថតអេក្រង់ខាងក្រោម៖
វាក៏មានតម្លៃក្នុងការនិយាយផងដែរថាអាសយដ្ឋាន IP កូដរឹងបន្ថែមដែលបានរកឃើញនៅក្នុងមេរោគនេះ (38.180.136.85) ហាក់ដូចជាត្រូវបានគ្រប់គ្រងដោយអ្នកផ្តល់សេវាផ្សេងទៀត ហើយត្រូវបានភ្ជាប់ជាមួយសេវាកម្មបង្ហោះ។ ដោយផ្អែកលើការយល់ដឹងរបស់យើង អាសយដ្ឋាន IP នេះមិនត្រូវបានប្រើប្រាស់យ៉ាងសកម្មដោយមេរោគនោះទេ។ យើងសន្មត់ថាវានៅទីនោះសម្រាប់ហេតុផលកេរ្តិ៍ដំណែល (ហេដ្ឋារចនាសម្ព័ន្ធ C2 ពីមុន)។
ដោយការជីកជ្រៅបន្តិចទៅក្នុង “mainThread1()” ដែលដំណើរការមុខងារ “ctrl.run()” យើងអាចឃើញថាមុខងារ run() ព្យាយាមបង្កើតការតភ្ជាប់ ហើយពិនិត្យមើលជាប្រចាំថាតើការតភ្ជាប់នោះនៅរស់ឬអត់។ បន្ទាប់មកវាព្យាយាម "parseCommand" កាត់ផ្នែកដែលមិនពាក់ព័ន្ធចេញពីវា។
មុខងារ "រត់" នេះប្រើ "ភ្ជាប់()" ដើម្បីដំឡើង/កំណត់ការតភ្ជាប់ឡើងវិញ។ វាបង្កើតរន្ធមួយទៅកាន់អាសយដ្ឋាន IP ពីចម្ងាយដែលយើងបានឃើញខាងលើ - 40.90.196.228 ។
មុខងារ "រត់" នេះប្រើ "CommandManager" ដែលរួមបញ្ចូលការដោះស្រាយផ្សេងៗគ្នាសម្រាប់ប្រភេទផ្សេងគ្នានៃពាក្យបញ្ជា/សមត្ថភាពដែលមេរោគនេះផ្តល់ឱ្យ រួមទាំងការផ្ទេរឯកសារពីម៉ាស៊ីនភ្ញៀវទៅម៉ាស៊ីនមេ និងពីម៉ាស៊ីនមេទៅម៉ាស៊ីនភ្ញៀវ ការបង្ហាប់ឯកសារ រូបថតអេក្រង់ ការបិទការតភ្ជាប់បណ្តាញ និង។ ជាការពិតណាស់ការប្រតិបត្តិពាក្យបញ្ជា។
វាពិនិត្យមើលថាតើពាក្យបញ្ជាដែលបានទទួលគឺទទេឬប្រសិនបើពាក្យបញ្ជាពិតប្រាកដត្រូវបានទទួលពីម៉ាស៊ីនមេ C2 ។
ប្រសិនបើរកឃើញពាក្យបញ្ជា វាញែកវាហើយប្រតិបត្តិវា។ ការប្រតិបត្តិគឺជាមូលដ្ឋាននៅក្រោមបរិបទនៃ PowerShell ។
ការប្រតិបត្តិនៃពាក្យបញ្ជាចូលជាពាក្យបញ្ជា PowerShell កំពុងត្រូវបានអនុវត្តដោយប្រើ jPowerShell wrapper ដែលយើងបាននិយាយពីមុន។
មុនពេលស្វែងយល់ពីស្នូលនៃមុខងារ OneDrive C2 វាជារឿងសំខាន់ដែលត្រូវកត់សម្គាល់ថា ផ្នែកសំខាន់ៗនៃកូដរបស់មេរោគនេះពឹងផ្អែកយ៉ាងខ្លាំងលើ 'ប្រភេទ' ជាក់លាក់នៃឯកសារ OneDrive ចំនួនបី៖ UUID, cf_UUID និង rf_UUID ។ ដូចដែលបានសង្កេតឃើញនៅក្នុងការស៊ើបអង្កេតរបស់យើង ពាក្យបញ្ជា Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID
ត្រូវបានប្រតិបត្តិ ដោយបង្ហាញ UUID នៃផ្នែករឹងឧបករណ៍។ ឧបករណ៍កំណត់អត្តសញ្ញាណពិសេសនេះបម្រើដើម្បីសម្គាល់ជនរងគ្រោះម្នាក់ៗនៅក្នុងយុទ្ធនាការ VEILDrive ។
ប្រភេទឯកសារនីមួយៗមានតួនាទីផ្សេងគ្នានៅក្នុងប្រតិបត្តិការរបស់មេរោគ។ រូបថតអេក្រង់ខាងក្រោមផ្តល់នូវឧទាហរណ៍នៃឯកសារទាំងនេះ និងតួនាទីចម្បងរបស់ពួកគេក្នុងការប្រតិបត្តិមេរោគ។
តោះចូលទៅក្នុងលំហូរនៃមុខងារ OneDrive C2 និងរបៀបដែលឯកសារ UUID ទាំងនោះត្រូវបានប្រើប្រាស់ក្នុងការអនុវត្ត៖
បន្ថែមពីលើសមត្ថភាពប្រតិបត្តិពីចម្ងាយបែបបុរាណនៅលើ PowerShell មុខងារ "odRun" ទទួលខុសត្រូវចំពោះខ្សែស្រឡាយមួយផ្សេងទៀតដោយផ្អែកលើ "OneDrive" ជាបណ្តាញទំនាក់ទំនង។ នេះគឺជាផ្នែកតែមួយគត់នៃមេរោគនេះ។
"odRun" ដូចដែលយើងឃើញវាប្រហែលជាត្រូវបានដាក់ឈ្មោះតាម "OneDrive" (OneDriveRun) និងរួមបញ្ចូលការបង្កើតការតភ្ជាប់ OneDrive ដោយប្រើមុខងារ "Odconnect" ជាជំហានដំបូង:
ដូចដែលអ្នកអាចឃើញដំបូងខ្សែ "machineUUID" ត្រូវបានកំណត់ជាខ្សែអក្សរទទេ។ បន្តដោយការប្រតិបត្តិនៃមុខងារ “getMachineUUID()” ដែលជាឈ្មោះរបស់វាបានបង្ហាញ ទទួលបាន Machine UUID នៃឧបករណ៍ជនរងគ្រោះ៖
បន្ទាប់មកយើងអាចឃើញថាការតភ្ជាប់ OneDrive កំពុងត្រូវបានអនុវត្តដោយប្រើមុខងារ "OdConnect" - ការតភ្ជាប់កំពុងត្រូវបានធ្វើឡើងដើម្បី "ចូល[.]microsoftonline[.]com" សម្រាប់ការបង្កើត/ធ្វើបច្ចុប្បន្នភាពនៃសំណុំនៃសញ្ញាចូលប្រើប្រាស់ថ្មី និងថូខឹនផ្ទុកឡើងវិញ .
”checkFile”៖ មុខងារនេះពិនិត្យមើលថាតើមានឯកសារដែលមានឈ្មោះ == machineUUID នៅក្នុងថតផ្ទះរបស់អ្នកប្រើប្រាស់បច្ចុប្បន្ន OneDrive
ឯកសារ OneDrive ដែលត្រូវបានដាក់ឈ្មោះដោយ machineUUID នៃឧបករណ៍ (ដោយគ្មានបុព្វបទ)។
ខ្លឹមសារនៃឯកសារ cf_MachineUUID នឹងត្រូវបានប្រតិបត្តិ។
បន្ទាប់មកម្តងទៀតដោយការសរសេរឯកសារទៅ OneDrive ដោយប្រើ " writeFileToOneDrive " ទីមួយ "rf_" + machineUUID ជាមួយនឹងខ្លឹមសារនៃការឆ្លើយតបនៃការប្រតិបត្តិ។
និងការប្រើប្រាស់មួយផ្សេងទៀតនៃ " writeFileToOneDrive " ដើម្បីសរសេរ និងទទេឯកសារ "cf_" ជាមូលដ្ឋានការពារការប្រតិបត្តិមួយផ្សេងទៀតនៃពាក្យបញ្ជាដូចគ្នា (ចាប់តាំងពីមេរោគដំណើរការនៅក្នុងរង្វិលជុំមួយ) ។
ដើម្បីសង្ខេបខ្លីៗ មេរោគនេះហាក់ដូចជាមានបណ្តាញ C2 ផ្សេងគ្នាដែលវាអាចដំណើរការជាមួយ៖
HTTPS Socket C2 ៖ វិធីសាស្រ្តបុរាណជាង ដោយទទួលពាក្យបញ្ជាពីចម្ងាយ Azure VM និងប្រតិបត្តិពួកវាក្រោមបរិបទនៃ PowerShell ។
C2 ដែលមានមូលដ្ឋានលើ OneDrive ៖ នេះគឺប្លែកជាង ហើយវិធីដែលវាដំណើរការគឺស្មុគស្មាញ និងច្នៃប្រឌិតជាងបន្តិច។ វារួមបញ្ចូលឯកសារបីផ្សេងគ្នា ដែលឯកសារទាំងអស់នោះរួមបញ្ចូល UUID នៃឧបករណ៍ជនរងគ្រោះ ដែលខ្លះមានបុព្វបទ (rf_ និង cf_)។ ដើម្បីធ្វើឱ្យវាមានភាពងាយស្រួលសម្រាប់អ្នកគំរាមកំហែងក្នុងការផ្ញើពាក្យបញ្ជា និងទទួលពួកវាដោយប្រើ Microsoft Graph ។
ចំណាំ ៖ វាសំខាន់ក្នុងការនិយាយថាមេរោគនេះមានសមត្ថភាពបន្ថែមក្រៅពីការប្រតិបត្តិពាក្យបញ្ជាស្តង់ដារ រួមទាំងការផ្ទេរឯកសារផងដែរ។ ទោះជាយ៉ាងណាក៏ដោយ ព័ត៌មានលម្អិតខាងលើផ្តោតលើទិដ្ឋភាពប្រតិបត្តិពាក្យបញ្ជាតែប៉ុណ្ណោះ។
ត្រង់ចំណុចនេះ វាច្បាស់ណាស់ថា ការវាយប្រហារនេះបានរួមបញ្ចូលគ្នាយ៉ាងប៉ិនប្រសប់នូវបច្ចេកទេសសាមញ្ញ ជាមួយនឹងល្បិចដ៏ទំនើប និងប្លែកពីគេ។ លក្ខណៈពិសេសលេចធ្លោមួយពីការស៊ើបអង្កេតដំបូងរបស់យើងគឺការប្រើប្រាស់យ៉ាងទូលំទូលាយនៃហេដ្ឋារចនាសម្ព័ន្ធ និងសេវាកម្ម Microsoft ដែលរួមបញ្ចូលគ្នាពេញមួយយុទ្ធនាការ។
បន្ទាប់ពីការវិភាគមេរោគ និងភ្ជាប់ព័ត៌មានថ្មីជាមួយនឹងការយល់ដឹងពីការស៊ើបអង្កេតរបស់យើង យើងទទួលបានការយល់ដឹងកាន់តែច្បាស់អំពីការប្រើប្រាស់សេវាកម្មផ្សេងៗរបស់អ្នកវាយប្រហារ និងគោលបំណងរបស់ពួកគេ។ យើងបានរកឃើញថាការប្រើប្រាស់សេវាកម្ម និងហេដ្ឋារចនាសម្ព័ន្ធរបស់ Microsoft គឺកាន់តែទូលំទូលាយជាងការដឹងដំបូង។
សូមមើលតារាងខាងក្រោមសម្រាប់ការសង្ខេបខ្លីៗ៖
សេវាកម្ម | អ្នកជួល | គោលបំណង |
---|---|---|
ក្រុម Microsoft | ពី Org A ទៅ Org C | Spear Phishing Messages ដើម្បីទាក់ទាញជនរងគ្រោះឱ្យទាញយក និងប្រតិបត្តិឧបករណ៍គ្រប់គ្រងពីចម្ងាយ |
ជំនួយរហ័ស | អង្គការ គ | តួអង្គគំរាមកំហែងផ្ញើលេខកូដជំនួយរហ័សដោយប្រើសារ Microsoft Teams ដើម្បីទទួលបានការបញ្ជាពីចម្ងាយដំបូង |
SharePoint | ពី Org B ទៅ Org C | ឯកសារព្យាបាទត្រូវបាន "បង្ហោះ" នៅក្នុងអ្នកជួល SharePoint នៃ Org B ។ តំណទាញយកត្រូវបានចែករំលែកជាមួយ Org C តាមរយៈសារ SharePoint ហើយបើកដោយអ្នកវាយប្រហារដោយប្រើជំនួយរហ័ស |
Azure VM | ហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារ | មេរោគបានទាក់ទងជាមួយម៉ាស៊ីននិម្មិត Azure ដែលជាកម្មសិទ្ធិរបស់តួអង្គគំរាមកំហែងសម្រាប់គោលបំណង HTTPS Socket C2 |
OneDrive (Graph API) | រវាងម៉ាស៊ីន OneDrive និង Org C របស់អ្នកវាយប្រហារ | តួអង្គគំរាមកំហែងបានប្រើ OneDrive ជាប៉ុស្តិ៍ C2 បន្ថែម ដើម្បីទទួលបានសមត្ថភាពដូចជាការប្រតិបត្តិពីចម្ងាយនៃពាក្យបញ្ជា ការថតអេក្រង់ ការទាញយក/ផ្ទុកឡើងឯកសារជាដើម។ កំណត់គោលដៅម៉ាស៊ីន Org C |
ការចុះឈ្មោះកម្មវិធី Azure AD | រវាងអ្នកវាយប្រហារ OneDrive & Org C host(s | កម្មវិធីនេះត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់ក្នុងនាមគណនីអ្នកប្រើ Azure AD ដែលជាកម្មសិទ្ធិរបស់តារាសម្ដែង ហើយចូលប្រើវាជាថតផ្ទះ OneDrive |
C5f077f6-5f7e-41a3-8354-8e31d50ee4d
893e5862-3e08-434b-9067-3289bec85f7d
B686e964-b479-4ff5-bef6-e360321a9b65
2c73cab1-a8ee-4073-96fd-38245d976882
SafeShift390[.]onmicrosoft[.]com
GreenGuard036[.]onmicrosoft[.]com
a515634efa79685970e0930332233aee74ec95aed94271e674445712549dd254
1040aede16d944be8831518c68edb14ccbf255feae3ea200c9401186f62d2cc4
7f61ff9dc6bea9dee11edfbc641550015270b2e8230b6196e3e9e354ff39da0e
d6af24a340fe1a0c6265399bfb2823ac01782e17fc0f966554e01b6a1110473f
7f33398b98e225f56cd287060beff6773abb92404afc21436b0a20124919fe05
40.90.196[.]221
40.90.196[.]228
38.180.136[.]85
213.87.86[.]192
បន្ថែមពីលើ IOCs ជាក់លាក់ដែលបានរៀបរាប់ខាងលើ យើងបានបង្កើតឡើងនូវសំណួរស្វែងរកការគំរាមកំហែងជាច្រើនដែលអាចត្រូវបានប្រើដើម្បីស្វែងរកការវាយប្រហារដែលមានប្រភពមកពីតួអង្គដូចគ្នា ធ្វើឡើងក្រោមយុទ្ធនាការដូចគ្នា ឬការចែករំលែកលក្ខណៈស្រដៀងគ្នា (TTPs)
ចំណាំ៖ ពេលវេលាប្រមាញ់ដែលបានណែនាំសម្រាប់ VEILDrive គឺចាប់ពីខែកក្កដា ឆ្នាំ 2024។
តក្កវិជ្ជាសំណួរ៖ ក្នុងអំឡុងពេលនៃការវិភាគរបស់យើង យើងបានកំណត់ថាឧបករណ៍ចូលប្រើពីចម្ងាយ (RAT) របស់អ្នកវាយប្រហារបានប្រើ Powershell ដើម្បីទៅយក UUID របស់ម៉ាស៊ីនជាផ្នែកនៃដំណើរការប្រតិបត្តិរបស់វា។ សំណួរនេះរកឃើញករណីមិនធម្មតានៃ Powershell ដែលត្រូវបានបង្កើតដោយ javaw.exe ជាមួយនឹងទង់បន្ទាត់ពាក្យបញ្ជាជាក់លាក់ដែលប្រើដោយអ្នកគំរាមកំហែង។
សំណួរ៖
SELECT EVENT_TIME, AGENT_ID, PARENT_PROCESS_NAME, PARENT_PROCESS_COMMANDLINE, INITIATING_PROCESS_NAME, INITIATING_PROCESS_COMMANDLINE, TARGET_PROCESS_NAME, TARGET_PROCESS_COMMANDLINE, TARGET_PROCESS_OS_PID FROM INVESTIGATION.EDR_PROCESS_CREATION_EVENTS WHERE 1=1 AND PARENT_PROCESS_NAME ILIKE '%javaw%' AND INITIATING_PROCESS_NAME ILIKE '%cmd%' AND TARGET_PROCESS_NAME ILIKE '%powershell%' AND TARGET_PROCESS_COMMANDLINE ILIKE 'powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile %' AND EVENT_TIME > current_timestamp - interval '60d'
តក្កវិជ្ជាសំណួរ៖ សំណួរនេះរកឃើញករណីនៃកិច្ចការដែលបានកំណត់ពេលចុះឈ្មោះជាមួយនឹងការប្រតិបត្តិឧបករណ៍ ROM ដែលប្រើដោយអ្នកគំរាមកំហែងសម្រាប់ការបន្ត។
សំណួរ៖
SELECT EVENT_TIME AS EVENT_TIME, AID AS AGENT_ID, CID AS COMPUTER_ID, EVENT_SIMPLE_NAME AS EVENT_NAME, RAW:TaskName AS TASK_NAME, RAW:TaskExecCommand AS TASK_EXEC_COMMAND, RAW:TaskAuthor AS TASK_AUTHOR, RAW:UserName AS USER_NAME --- Adjust according to your EDR of choice FROM RAW.CROWDSTRIKE_RAW_EVENTS WHERE EVENT_SIMPLE_NAME = 'ScheduledTaskRegistered' AND TASK_EXEC_COMMAND ILIKE '%romserver%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d'
SET YOUR_ORGANIZATION_NAME = 'hunters'; SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, OPERATION AS EVENT_TYPE, SPLIT_PART(LOWER(SPLIT_PART(USER_ID, '@', 2)), '.', 1) AS SENDER_ORG_DOMAIN, RECORD_SPECIFIC_DETAILS:message_ur_ls AS MESSAGE_URLS, WORKLOAD AS WORKLOAD, USER_ID AS USER_ID, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS FROM RAW.O365_AUDIT_LOGS WHERE NOT USER_ID ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND (NOT (MESSAGE_URLS ILIKE '%' || SENDER_ORG_DOMAIN || '%') AND MESSAGE_URLS ILIKE '%sharepoint%') AND NOT MESSAGE_URLS ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d'
តក្កវិជ្ជាសំណួរ៖ សំណួរខាងក្រោមរកឃើញសារដែលបានផ្ញើនៅក្នុងការជជែកមួយទល់នឹងមួយដោយអ្នកប្រើប្រាស់ខាងក្រៅពីដែនមិនមែនទូទៅ។ សំណួរត្រងចេញនូវដែនដែលបានប្រើយ៉ាងទូលំទូលាយដោយផ្អែកលើសកម្មភាពប្រវត្តិសាស្រ្ត និងកំណត់អត្តសញ្ញាណសមាជិកខាងក្រៅដែលបានបន្ថែមទៅការជជែកដែលអាចនឹងកំពុងធ្វើការវាយប្រហារដោយបន្លំ។
សំណួរ៖
SET YOUR_DOMAIN_NAME = 'hunters'; --- GET EXTERNAL TEAMS AND ONEDRIVE USERS OF THE LAST 3 MONTHS - TO CLEAN EXTENSIVELY USED DOMAINS WITH COMMONLY_USED_DOMAINS AS ( SELECT LOWER(SPLIT_PART(USER_ID , '@', 2)) AS DOMAIN_COMMONLY_USED, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE WORKLOAD IN ('MicrosoftTeams', 'OneDrive') AND EVENT_TIME > CURRENT_TIMESTAMP - interval '90d' AND USER_ID ILIKE '%@%' GROUP BY DOMAIN_COMMONLY_USED HAVING COUNTER > 20 ), ---- Get List of External Domains that recently communicated with our organization using Microsoft Teams LATEST_EXTERNAL_DOMAINS AS ( SELECT USER_ID AS LATEST_EXT_USERS, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, ARRAY_AGG(DISTINCT RECORD_SPECIFIC_DETAILS:communication_type) AS COMMUNICATION_TYPE, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE EVENT_TIME > CURRENT_TIMESTAMP - interval '50d' AND NOT USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND NOT USER_ID IN ('app@sharepoint') AND USER_ID ILIKE '%@%' -- CLEAN-UP OF EXTENSIVELY USED DOMAINS AND USER_DOMAIN NOT IN (SELECT DISTINCT DOMAIN_COMMONLY_USED FROM COMMONLY_USED_DOMAINS) AND OPERATION IN ('MemberAdded', 'ChatCreated') AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' GROUP BY USER_ID HAVING COUNT(*) > 5 ) SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, WORKLOAD AS WORKLOAD, OPERATION AS OPERATION, USER_ID AS USER_ID, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME_0, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN_0, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS_0, RECORD_SPECIFIC_DETAILS:members[1].DisplayName AS MEMBER_DISPLAY_NAME_2, RECORD_SPECIFIC_DETAILS:members[1].UPN AS MEMBER_UPN_2, RECORD_SPECIFIC_DETAILS:members[1] AS MEMBERS_2, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS, RAW:ClientIP AS CLIENT_IP FROM RAW.O365_AUDIT_LOGS WHERE 1=1 AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' AND ( RECORD_SPECIFIC_DETAILS:members[0].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) OR RECORD_SPECIFIC_DETAILS:members[1].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) ) AND USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND OPERATION = 'MemberAdded' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '50d';
តក្កវិជ្ជាសំណួរស៊ីជម្រៅ៖ ដោយសារសំណួរនេះស្មុគស្មាញបន្តិច នេះគឺជាការពន្យល់អំពីតក្កវិជ្ជា។ ដំបូង យើងប្រើមុខងារ "CTE" នៃ Snowflake ដើម្បីបង្កើតទិដ្ឋភាពពីរ៖
ជាចុងក្រោយ យើងទៅយកព័ត៌មានលំអិតអំពីអ្នកប្រើប្រាស់ និងដែនដែលពាក់ព័ន្ធរបស់ពួកគេដោយសួរលទ្ធផលដែលបានត្រងពី LATEST_EXTERNAL_DOMAINS ។
យើងគ្របដណ្តប់លើទិដ្ឋភាពតាមប្រមាញ់ និងការស៊ើបអង្កេតទាក់ទងនឹងបច្ចេកទេសវាយប្រហារជាច្រើនដែលប្រើដោយតួសម្តែង។ វិធីសាស្រ្ត និងបច្ចេកទេសព្យាបាទមួយចំនួន ត្រូវបានគេស្គាល់ផងដែរ ដើម្បីប្រើប្រាស់ក្នុងយុទ្ធនាការផ្សេងៗ។
ការការពារស្ថាប័នរបស់អ្នកពីការគំរាមកំហែងទាំងនោះអាចកាត់បន្ថយយ៉ាងខ្លាំងនូវហានិភ័យនៃការវាយប្រហារដោយជោគជ័យដែលផ្តោតលើផ្នែកផ្សេងៗនៃហេដ្ឋារចនាសម្ព័ន្ធស្ថាប័នរបស់អ្នក។
នេះគឺជាអាហារបំប៉នអនាម័យមួយចំនួនដែលអាចត្រូវបានប្រើដើម្បីបង្កើនឥរិយាបថសុវត្ថិភាពរបស់អ្នក៖
VEILDrive រួមបញ្ចូលគ្នានូវភាពសាមញ្ញ និងភាពទំនើប។ វាគួរឱ្យចាប់អារម្មណ៍ក្នុងការធ្វើជាសាក្សីនៃការប្រើប្រាស់លក្ខណៈ C2 បុរាណស្របគ្នាជាមួយ C2 លើ OneDrive ក៏ដូចជាការប្រើប្រាស់ការតស៊ូផ្អែកលើកិច្ចការដែលបានកំណត់ពេលបុរាណរួមបញ្ចូលគ្នាជាមួយនឹងការប្រតិបត្តិមេរោគដែល EDR កំពូលមិនបានរកឃើញ។
លក្ខណៈដែលបានកំណត់ថាជាផ្នែកមួយនៃការស៊ើបអង្កេត និងការស្រាវជ្រាវការគំរាមកំហែងគឺគួរឱ្យចាប់អារម្មណ៍ ហើយពួកគេបានអនុញ្ញាតឱ្យយើងយល់កាន់តែច្បាស់អំពីរបៀបដែលភ្នាក់ងារគំរាមកំហែងនេះដំណើរការ សេវាកម្មដែលគេស្គាល់ថាវាបំពាន របៀបដែលវាបំពានពួកគេ និងសម្រាប់គោលបំណងអ្វី។
វិធីដែល OneDrive ត្រូវបានគេបំពានសម្រាប់ការទំនាក់ទំនង C2 នៅក្នុង VEILDrive មានលក្ខណៈប្លែកពីគេ។ ទោះជាយ៉ាងណាក៏ដោយ គំនិតទូទៅនៃការរំលោភបំពាន OneDrive សម្រាប់គោលបំណង C2 មានការកើនឡើងក្នុងរយៈពេលប៉ុន្មានខែចុងក្រោយនេះ ហើយវាគឺជាអ្វីដែលត្រូវចងចាំ។
ការចូលប្រើដំបូងតាមរយៈ spear-phishing នៅលើវេទិកាទំនាក់ទំនងដូចជា Microsoft Teams, Slack និងសេវាកម្មស្រដៀងគ្នាគឺជារឿងធម្មតាកាន់តែខ្លាំងឡើង។
យើងព្យាករថា វានឹងក្លាយជារឿងធម្មតាកាន់តែច្រើនតាមរយៈពេលវេលាកន្លងទៅ។ ដូច្នេះហើយ វិធានការអនាម័យ និងឥរិយាបថទាក់ទងនឹងទិដ្ឋភាពនេះ (ដូចបានរៀបរាប់នៅក្នុង សៀវភៅអនាម័យខាងលើ) គឺមានសារៈសំខាន់ណាស់។
ឧបករណ៍គ្រប់គ្រងពីចម្ងាយគឺមានប្រជាប្រិយភាពខ្លាំងរួចទៅហើយក្នុងចំណោមអ្នកគំរាមកំហែង។ វិធីសាស្រ្តផ្សេងគ្នាអាចត្រូវបានយកទៅកាត់បន្ថយសក្តានុពលសម្រាប់ការចូលប្រើដោយគ្មានការអនុញ្ញាតដោយប្រើឧបករណ៍បែបនេះ។ តាមទស្សនៈរបស់យើង វិធីសាស្រ្តដែលបានណែនាំនៅក្នុងតំបន់នេះគឺការដាក់ក្នុងបញ្ជីស (ការចុះបញ្ជីអនុញ្ញាត) រួមជាមួយនឹងការត្រួតពិនិត្យដ៏រឹងមាំ។
យើងរំពឹងថាយុទ្ធនាការកាន់តែច្រើននៃលក្ខណៈនេះនឹងលេចឡើង ដោយប្រើប្រាស់វិធីសាស្រ្ត និងលក្ខណៈស្រដៀងគ្នា។ ដូច្នេះ ការត្រួតពិនិត្យជាបន្ត និងការស្វែងរកការគំរាមកំហែងយ៉ាងសកម្មចំពោះប្រភេទនៃការគំរាមកំហែងនេះត្រូវបានណែនាំយ៉ាងខ្លាំង។
ដើម្បីបន្តធ្វើបច្ចុប្បន្នភាពលើការស្រាវជ្រាវ សកម្មភាព និងសំណួរដែលគំរាមកំហែង សូមតាមដានគណនី X/Twitter របស់ Team Axon ( @team__axon )។