paint-brush
Unmasking VEILDrive៖ តួអង្គគំរាមកំហែងកេងប្រវ័ញ្ចសេវាកម្ម Microsoft សម្រាប់ Command & Controlដោយ@hunters
15,217 ការអាន
15,217 ការអាន

Unmasking VEILDrive៖ តួអង្គគំរាមកំហែងកេងប្រវ័ញ្ចសេវាកម្ម Microsoft សម្រាប់ Command & Control

ដោយ Hunters30m2024/11/11
Read on Terminal Reader

យូរ​ពេក; អាន

- ក្រុមហិនទ័រ AXON បានកំណត់អត្តសញ្ញាណ ហើយបច្ចុប្បន្នកំពុងតាមដានយុទ្ធនាការគំរាមកំហែងដែលកំពុងបន្ត ដែលមានឈ្មោះថា "VEILDrive" - យុទ្ធនាការនេះត្រូវបានកំណត់អត្តសញ្ញាណដំបូងថាជាផ្នែកមួយនៃការចូលរួមរបស់ AXON ដើម្បីដោះស្រាយសកម្មភាពព្យាបាទដែលត្រូវបានកំណត់នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់អតិថិជនរបស់យើង។ - ជាផ្នែកមួយនៃការស៊ើបអង្កេត យើងបានកំណត់អត្តសញ្ញាណធាតុផ្សំហេដ្ឋារចនាសម្ព័ន្ធ Microsoft ផ្សេងៗគ្នានៃអង្គការជនរងគ្រោះបន្ថែមដែលត្រូវបានសម្របសម្រួល និងប្រើប្រាស់ដោយអ្នកវាយប្រហារ - អ្នកវាយប្រហារបានប្រើប្រាស់សេវាកម្ម និងកម្មវិធី Microsoft SaaS ផ្សេងៗគ្នា ដែលជាផ្នែកមួយនៃយុទ្ធនាការ រួមមានក្រុម Microsoft, SharePoint, Quick Assist និង OneDrive - អ្នកវាយប្រហារបានប្រើវិធីសាស្ត្រ Command & Control (C&C) ដែលមានមូលដ្ឋានលើ OneDrive ដែលជាផ្នែកមួយនៃមេរោគដែលបានរកឃើញនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់ជនរងគ្រោះ - ផ្អែកលើការសន្និដ្ឋានពីការស៊ើបអង្កេតរបស់យើង មានប្រូបាប៊ីលីតេគួរឱ្យកត់សម្គាល់ដែលយុទ្ធនាការនេះមានប្រភពមកពីប្រទេសរុស្ស៊ី - ក្រុម AXON បានរាយការណ៍ពីការរកឃើញរបស់ខ្លួនទៅ Microsoft ដើម្បីជួយក្នុងការបិទហេដ្ឋារចនាសម្ព័ន្ធរបស់តារាសម្តែង - ក្រុមការងារក៏បានទាក់ទងទៅជនរងគ្រោះដែលរងផលប៉ះពាល់ជាច្រើននាក់ដែលត្រូវបានកំណត់អត្តសញ្ញាណក្នុងអំឡុងពេលស្រាវជ្រាវរបស់យើង។
featured image - Unmasking VEILDrive៖ តួអង្គគំរាមកំហែងកេងប្រវ័ញ្ចសេវាកម្ម Microsoft សម្រាប់ Command & Control
Hunters HackerNoon profile picture
0-item
1-item
2-item

ដោយ ក្រុម Hunters Axon

TL;DR

  • ក្រុមអ្នកប្រមាញ់ AXON បានកំណត់អត្តសញ្ញាណ ហើយបច្ចុប្បន្នកំពុងតាមដានយុទ្ធនាការគំរាមកំហែងដែលកំពុងដំណើរការ ដែលត្រូវបានគេហៅថា " VEILDrive "
  • យុទ្ធនាការនេះត្រូវបានកំណត់អត្តសញ្ញាណដំបូងថាជាផ្នែកមួយនៃការចូលរួម របស់ AXON ដើម្បីដោះស្រាយសកម្មភាពព្យាបាទដែលត្រូវបានកំណត់នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់អតិថិជនរបស់យើង។
  • ជាផ្នែកមួយនៃការស៊ើបអង្កេត យើងបានកំណត់អត្តសញ្ញាណធាតុផ្សំហេដ្ឋារចនាសម្ព័ន្ធ Microsoft ផ្សេងៗគ្នានៃអង្គការជនរងគ្រោះបន្ថែមដែលត្រូវបានសម្របសម្រួល និងប្រើប្រាស់ដោយអ្នកវាយប្រហារ
  • អ្នកវាយប្រហារបានប្រើប្រាស់សេវាកម្ម និងកម្មវិធី Microsoft SaaS ផ្សេងៗគ្នា ដែលជាផ្នែកមួយនៃយុទ្ធនាការ រួមមានក្រុម Microsoft, SharePoint, Quick Assist និង OneDrive
  • អ្នកវាយប្រហារបានប្រើវិធីសាស្ត្រ Command & Control (C&C) ដែលមានមូលដ្ឋានលើ OneDrive ដែលជាផ្នែកមួយនៃមេរោគដែលបានរកឃើញនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់ជនរងគ្រោះ
  • ផ្អែកលើការសន្និដ្ឋានពីការស៊ើបអង្កេតរបស់យើង មានប្រូបាប៊ីលីតេគួរឱ្យកត់សម្គាល់ដែលយុទ្ធនាការនេះមានប្រភពមកពីប្រទេសរុស្ស៊ី
  • Team AXON បានរាយការណ៍ពីការរកឃើញរបស់ខ្លួនទៅ Microsoft ដើម្បីជួយក្នុងការបិទហេដ្ឋារចនាសម្ព័ន្ធរបស់តារាសម្តែង
  • ក្រុមការងារក៏បានទាក់ទងទៅជនរងគ្រោះដែលរងផលប៉ះពាល់ជាច្រើននាក់ដែលត្រូវបានកំណត់អត្តសញ្ញាណក្នុងអំឡុងពេលស្រាវជ្រាវរបស់យើង។


សង្ខេបប្រតិបត្តិ

ក្រុម Hunters' AXON បានរកឃើញ និងកំពុងតាមដានយ៉ាងសកម្មនូវយុទ្ធនាការគំរាមកំហែងដែលកំពុងដំណើរការដែលត្រូវបានគេហៅថា "VEILDrive"។ បានរកឃើញដំបូងក្នុងអំឡុងពេលស៊ើបអង្កេតអំពីសកម្មភាពព្យាបាទនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់អតិថិជន VEILDrive ប្រើប្រាស់ឈុត SaaS របស់ Microsoft ជាពិសេស Teams, SharePoint, Quick Assist និង OneDrive-to អនុវត្ត​យុទ្ធសាស្ត្រ​របស់​ខ្លួន​ដោយ​ឯកឯង អ្នក​គំរាម​កំហែង​ប្រើ ក វិធីសាស្ត្រ Command & Control (C&C) ដែលមានមូលដ្ឋានលើ OneDrive ដែលបានបង្កប់នៅក្នុងមេរោគផ្ទាល់ខ្លួន ដែលត្រូវបានដាក់ឱ្យប្រើប្រាស់នៅលើបរិស្ថានដែលត្រូវបានសម្របសម្រួល ការវិភាគរបស់យើងបង្ហាញពីប្រភពដើមជាភាសារុស្សីសម្រាប់យុទ្ធនាការនេះ ហើយចាប់តាំងពីពេលនោះមក Team AXON បានជូនដំណឹងដល់ Microsoft និងស្ថាប័នដែលរងផលប៉ះពាល់ដើម្បីកាត់បន្ថយការកេងប្រវ័ញ្ចបន្ថែមទៀត។


ការស្រាវជ្រាវរបស់យើងបានចាប់ផ្តើមនៅក្នុងខែកញ្ញា ឆ្នាំ 2024 បន្ទាប់ពីការឆ្លើយតបទៅនឹងការវាយប្រហារលើអង្គភាពហេដ្ឋារចនាសម្ព័ន្ធដ៏សំខាន់មួយនៅក្នុងសហរដ្ឋអាមេរិក។ បច្ចេកទេសវាយប្រហាររបស់ VEILDrive ខុសគ្នាដាច់ពីឥរិយាបថគំរាមកំហែងធម្មតា។ ពួកគេពឹងផ្អែកយ៉ាងខ្លាំងលើហេដ្ឋារចនាសម្ព័ន្ធ SaaS របស់ Microsoft ដើម្បីចែកចាយយុទ្ធនាការ spear-phishing និងរក្សាទុកកម្មវិធីព្យាបាទ។ យុទ្ធសាស្រ្តដែលពឹងផ្អែកលើ SaaS នេះធ្វើឱ្យស្មុគស្មាញដល់ការរកឃើញក្នុងពេលជាក់ស្តែង និងឆ្លងកាត់ការការពារធម្មតា។


មេរោគដែលភ្ជាប់ជាមួយ VEILDrive គឺជាឯកសារ .jar ដែលមានមូលដ្ឋានលើ Java ដែលគួរឱ្យកត់សម្គាល់ខ្វះការយល់ច្រឡំ ដែលធ្វើឱ្យវាអាចអានមិនធម្មតា និងមានរចនាសម្ព័ន្ធល្អ។ ទោះបីជាវាមានភាពសាមញ្ញក៏ដោយ មេរោគនេះបានគេចពីការរកឃើញដោយឧបករណ៍ Endpoint Detection and Response (EDR) លំដាប់កំពូល និងម៉ាស៊ីនសុវត្ថិភាពទាំងអស់នៅក្នុង VirusTotal ។ នេះបង្ហាញពីហានិភ័យដ៏សំខាន់មួយ៖ សូម្បីតែកូដមិនច្បាស់ និងមិនច្បាស់លាស់ក៏អាចគេចចេញពីយន្តការរាវរកទំនើប ដែលបង្ហាញពីតម្រូវការទូលំទូលាយដើម្បីពិនិត្យមើលឡើងវិញនូវយុទ្ធសាស្ត្ររាវរកនៅក្នុងបរិយាកាសដែលមានហានិភ័យខ្ពស់។


របាយការណ៍នេះផ្តល់នូវការយល់ដឹងអំពីវិធីសាស្រ្តរបស់ VEILDrive និងដែនកំណត់នៃវិធីសាស្រ្តនៃការរកឃើញបច្ចុប្បន្ន ដើម្បីបំពាក់សហគមន៍សន្តិសុខតាមអ៊ីនធឺណិតឱ្យកាន់តែប្រសើរឡើងប្រឆាំងនឹងការគំរាមកំហែងដែលកំពុងវិវត្ត។


ផ្ទៃខាងក្រោយ

នៅខែកញ្ញា ឆ្នាំ 2024 ក្រុម AXON បានឆ្លើយតបទៅនឹងឧប្បត្តិហេតុមួយ ដែលផ្តោតលើក្រុមហ៊ុនហេដ្ឋារចនាសម្ព័ន្ធដ៏សំខាន់មួយនៅក្នុងសហរដ្ឋអាមេរិក។ ការស៊ើបអង្កេតនេះបានបង្ហាញពីយុទ្ធនាការគំរាមកំហែងពិសេសមួយ "VEILDrive" ដែលបង្ហាញពីយុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធីមិនធម្មតា (TTPs) ដែលខុសពីធម្មតាដែលឃើញនៅក្នុងឧប្បត្តិហេតុស្រដៀងគ្នានេះ។


ផ្អែកលើការរកឃើញរបស់យើង យើងប៉ាន់ប្រមាណថាយុទ្ធនាការ VEILDrive បានចាប់ផ្តើមនៅដើមខែសីហា ឆ្នាំ 2024 ហើយនៅតែសកម្មដូចរបាយការណ៍នេះ។ ការប្រើប្រាស់សេវាកម្ម Microsoft SaaS រួមទាំងក្រុម, SharePoint, Quick Assist និង OneDrive - អ្នកវាយប្រហារបានទាញយកប្រយោជន៍ពីហេដ្ឋារចនាសម្ព័ន្ធដែលគួរឱ្យទុកចិត្តរបស់អង្គការដែលបានសម្របសម្រួលពីមុនដើម្បីចែកចាយការវាយប្រហារដោយលំពែង និងរក្សាទុកមេរោគ។ យុទ្ធសាស្ត្រផ្តោតលើពពកនេះ បានអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែង ជៀសវាងការរកឃើញដោយប្រព័ន្ធត្រួតពិនិត្យធម្មតា។


គួរកត់សម្គាល់ថា VEILDrive បានណែនាំវិធីសាស្ត្រ Command & Control (C&C) ដែលមានមូលដ្ឋានលើ OneDrive ដែលបង្កប់នៅក្នុងមេរោគដែលមានមូលដ្ឋានលើ Java ដែលត្រូវបានដាក់ពង្រាយនៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ មេរោគខ្លួនវា ឯកសារ .jar បង្ហាញលក្ខណៈពិសេសគួរឱ្យចាប់អារម្មណ៍ពីរ៖


  • តម្លាភាពនៃកូដ៖ ជាមួយនឹងភាពមិនច្បាស់លាស់សូន្យ និងកូដដែលមានរចនាសម្ព័ន្ធល្អ មេរោគនេះប្រឆាំងនឹងនិន្នាការធម្មតានៃការរចនាដែលផ្តោតលើការគេចវេស ដែលធ្វើឱ្យវាអាចអានមិនធម្មតា និងត្រង់។
  • ប្រសិទ្ធភាពបំបាំងកាយ៖ ថ្វីបើភាពសាមញ្ញរបស់វាក៏ដោយ ក៏មេរោគនេះនៅតែមិនអាចរកឃើញដោយដំណោះស្រាយ Endpoint Detection and Response (EDR) កម្រិតកំពូលដែលបានដាក់ពង្រាយនៅក្នុងបរិស្ថានជនរងគ្រោះ និងម៉ាស៊ីនសុវត្ថិភាពទាំងអស់នៅក្នុង VirusTotal (សូមមើលរូបភាពទី 1 ខាងក្រោម)៖

រូបភាពទី 1៖ រូបថតអេក្រង់ VirusTotal បង្ហាញមេរោគ Java ជាមួយនឹងការរកឃើញសូន្យ។ មិនអាចរកឃើញដោយម៉ាស៊ីន VirusTotal ទាំងអស់ ដោយបញ្ជាក់ពីសមត្ថភាពគេច។


លក្ខណៈទាំងនេះគូសបញ្ជាក់ថា ទោះបីជាមិនមានបច្ចេកទេសគេចវេសដ៏ទំនើបក៏ដោយ ការរៀបចំយ៉ាងប្រុងប្រយ័ត្ន មេរោគដែលមិនមានភាពច្របូកច្របល់អាចគេចផុតពីការការពារទំនើប។ ការស៊ើបអង្កេតនេះគូសបញ្ជាក់ពីគម្លាតនៅក្នុងយុទ្ធសាស្ត្ររាវរកបច្ចុប្បន្ន និងសង្កត់ធ្ងន់លើតម្រូវការសម្រាប់ការប្រុងប្រយ័ត្នប្រឆាំងនឹងវិធីសាស្ត្រវាយប្រហារដែលមិនសូវសាមញ្ញ។


ក្រុម AXON បានចែករំលែកការរកឃើញរបស់ខ្លួនជាមួយក្រុមហ៊ុន Microsoft និងអង្គការដែលរងផលប៉ះពាល់ ដោយផ្តល់ជូននូវការស៊ើបការណ៍សម្ងាត់ដែលអាចធ្វើសកម្មភាពដើម្បីកាត់បន្ថយការគំរាមកំហែងដែលកំពុងបន្តនេះ។


ផ្លូវវាយប្រហារ VEILDrive

នៅដើមខែកញ្ញា ឆ្នាំ 2024 អតិថិជនម្នាក់របស់ Hunters ដែលហៅថា "Org C" បានភ្ជាប់ជាមួយក្រុម AXON សម្រាប់ការគាំទ្រក្នុងការដោះស្រាយឧប្បត្តិហេតុសកម្មមួយ។ ករណីនេះផ្តោតលើឧបករណ៍ជាក់លាក់មួយនៅក្នុង Org C ដែលត្រូវបានសម្របសម្រួលតាមរយៈវិស្វកម្មសង្គម។


កិច្ចការដែលបានកំណត់ពេលដែលបានបង្កើតគួរឱ្យសង្ស័យនៅលើឧបករណ៍របស់បុគ្គលិក Org C បានបង្កឱ្យមានការជូនដំណឹង ដោយជំរុញឱ្យមានការស៊ើបអង្កេតបន្ថែមទៀត។ តាមរយៈការភ្ជាប់កំណត់ហេតុ និងការទំនាក់ទំនងជាមួយអ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់ ក្រុមការងារបានបញ្ជាក់ពីវិធីសាស្ត្រនៃការចូលប្រើដំបូង។


ខាងក្រោមនេះគឺជាដ្យាក្រាមវាយប្រហារដែលផ្តល់នូវទិដ្ឋភាពទូទៅកម្រិតខ្ពស់នៃលំហូរការវាយប្រហារ៖


ដ្យាក្រាមវាយប្រហារ VIELdrive


លំដាប់នៃព្រឹត្តិការណ៍បានលាតត្រដាងដូចខាងក្រោមៈ

ជំហានទី 1

តួអង្គព្យាបាទបានប្រើក្រុម Microsoft ដើម្បីផ្ញើសារទៅកាន់បុគ្គលិកដែលបានជ្រើសរើសចំនួន 4 នាក់នៅ Org C ដែលក្រៅពីមិនមានលក្ខណៈបច្ចេកទេសដោយផ្អែកលើតួនាទីរបស់ពួកគេ មិនមានទំនាក់ទំនងជាក់ស្តែងផ្សេងទៀតទេ។ អ្នកវាយប្រហារបានក្លែងធ្វើជាសមាជិកក្រុម IT ហើយបានស្នើសុំចូលប្រើប្រាស់ឧបករណ៍របស់បុគ្គលិកម្នាក់ៗតាមរយៈឧបករណ៍ Quick Assist remote utility tool។


ជាជាងប្រើគណនីដែលទើបបង្កើតថ្មីសម្រាប់ការក្លែងបន្លំ អ្នកវាយប្រហារបានប្រើប្រាស់គណនីអ្នកប្រើប្រាស់ដែលត្រូវបានសម្របសម្រួលពីជនរងគ្រោះមុនដែលមានសក្តានុពល ដែលហៅថា "Org A"។


កំណត់ហេតុសវនកម្ម M365 ត្រូវបានប្រើដើម្បីកំណត់អត្តសញ្ញាណក្រុម Microsoft Teams spear-phishing ។

  • ព្រឹត្តិការណ៍ “ MessageSent ” និង “ ChatCreated ” ជាច្រើនត្រូវបានកំណត់អត្តសញ្ញាណ ដែលទាំងអស់មានប្រភពចេញពីអ្នកប្រើប្រាស់ Org A ដែលត្រូវបានសម្របសម្រួលពីមុន ដែលជាកម្មសិទ្ធិរបស់តួអង្គគំរាមកំហែង។

  • ខណៈពេលដែលបុគ្គលិក 4 នាក់ត្រូវបានកំណត់គោលដៅ មានតែព្រឹត្តិការណ៍ " សមាជិកបន្ថែម " មួយប៉ុណ្ណោះដែលត្រូវបានកំណត់គោលដៅលើអ្នកប្រើប្រាស់ដែលត្រូវបានសម្របសម្រួលនៃ Org A


រូបភាពទី 2៖ កំណត់ហេតុសវនកម្មរបស់ Microsoft 365 ពី Org C - បង្ហាញពីព្រឹត្តិការណ៍ "MemberAdded" ដែលគណនីអ្នកប្រើប្រាស់ដែលត្រូវបានសម្របសម្រួលពីមុនរបស់ Org A ត្រូវបានបន្ថែមទៅការជជែកមួយទល់នឹងមួយជាមួយជនរងគ្រោះនៃ Org C ។


  • ព្រឹត្តិការណ៍ “ MemberAdded ” នេះត្រូវបានធ្វើឡើងដោយគណនីអ្នកប្រើប្រាស់តែមួយគត់នៃអ្នកប្រើប្រាស់គោលដៅចំនួន 4 ដែលបានទទួលយកសំណើចូលដំណើរការរបស់តួអង្គគំរាមកំហែង ដោយបង្កើតការជជែកមួយទល់នឹងមួយ។ នេះមានន័យថាអ្នកប្រើប្រាស់នេះគឺជាមនុស្សតែម្នាក់គត់ដែលបានធ្វើអន្តរកម្មយ៉ាងសកម្មជាមួយសារចូល។
  • ព័ត៌មាននេះបានតម្រឹមជាមួយនឹងទិន្នន័យពីតេឡេមេទ្រី EDR របស់ស្ថាប័ន ដោយបញ្ជាក់ថាអ្នកប្រើប្រាស់មិនត្រឹមតែទទួលយកសំណើ និងទទួលបានសារប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងអាចឱ្យអ្នកវាយប្រហារទទួលបានសិទ្ធិចូលដំណើរការដំបូងដោយសារតែវិស្វកម្មសង្គមជោគជ័យ។


ការយល់ដឹងខាងលើគឺគួរឱ្យចាប់អារម្មណ៍ និងមានតម្លៃ ដែលបង្ហាញពីការកើនឡើងអត្រាប្រេវ៉ាឡង់នៃការបន្លំតាមរយៈក្រុម Microsoft និងឧបករណ៍ទំនាក់ទំនងស្រដៀងគ្នា។ ការបែងចែករវាងការប៉ុនប៉ងបន្លំដែលទទួលបានជោគជ័យ និងបរាជ័យដោយប្រើកំណត់ហេតុសវនកម្ម M365 រួមជាមួយនឹងការជាប់ទាក់ទងជាមួយកំណត់ហេតុ EDR អាចមានសារៈសំខាន់ខ្លាំងសម្រាប់ការស៊ើបអង្កេត។


សាររបស់ Microsoft Teams ទទួលបានដោយអ្នកប្រើប្រាស់គោលដៅនៃ Org C អាចធ្វើទៅបានដោយមុខងារ " External Access " របស់ Microsoft Teams ដែលអនុញ្ញាតឱ្យមានការប្រាស្រ័យទាក់ទងគ្នាមួយទល់មួយជាមួយស្ថាប័នខាងក្រៅណាមួយតាមលំនាំដើម។

ជំហានទី 2

អ្នកវាយប្រហារបានទាក់ទាញជនរងគ្រោះនៃ Org C ដោយជោគជ័យដើម្បីប្រតិបត្តិឧបករណ៍ជំនួយរហ័សរបស់ Microsoft និងផ្តល់ឱ្យពួកគេនូវលេខកូដចូលប្រើតាមរយៈ Microsoft Teams ។ នេះនាំឱ្យមានការចូលប្រើអន្តរកម្មរបស់តួអង្គគំរាមកំហែងទៅកាន់កុំព្យូទ័ររបស់ជនរងគ្រោះ។

ជំហានទី 3

បន្ទាប់មក តួអង្គគំរាមកំហែងបានចែករំលែកតំណទាញយកទៅកាន់ SharePoint នៃស្ថាប័នដាច់ដោយឡែកមួយ (ជនរងគ្រោះជាកម្មសិទ្ធិរបស់អ្នកជួលផ្សេងពីអ្នកដែលប្រើសម្រាប់ការបន្លំតាមរយៈការជជែករបស់ Microsoft Teams ដែលយើងនឹងហៅថា 'Org B')។ តំណភ្ជាប់នេះមានឯកសារ .zip ដែលការពារដោយពាក្យសម្ងាត់ដែលមានឈ្មោះថា Client_v8.16L.zip ដែលរួមបញ្ចូលឯកសារផ្សេងៗ ក្នុងចំណោមនោះមានឧបករណ៍ RMM បន្ថែម។


ឯកសារត្រូវបានទាញយក ទំនងជាតាមរយៈមធ្យោបាយអន្តរកម្ម ដោយអ្នកវាយប្រហារ-បានបំពាក់រួចជាស្រេចជាមួយនឹងការចូលប្រើពីចម្ងាយ-ដំណើរការក្រោមបរិបទនៃ explorer.exe ដែលអនុញ្ញាតឱ្យពួកគេចុចតំណ និងទាញយកឧបករណ៍តាមតម្រូវការ។


គួរកត់សម្គាល់ថាក្នុងអំឡុងពេលស៊ើបអង្កេត យើងបានទាក់ទងកំណត់ហេតុសវនកម្ម M365 ដែលផ្តល់ព័ត៌មានច្បាស់លាស់អំពី URLs ចូលនៅក្នុងសារ Microsoft Teams ជាមួយនឹងទូរលេខ EDR របស់ម្ចាស់ផ្ទះជនរងគ្រោះ ដើម្បីយល់ច្បាស់អំពី TTPs របស់អ្នកវាយប្រហារ។


រូបភាពទី 3៖ កំណត់ហេតុសវនកម្ម Microsoft 365 ពី Org C បង្ហាញធាតុ 'MessageSent' ជាមួយនឹង URL ព្យាបាទដែលបានផ្ញើដោយអ្នកវាយប្រហារតាមរយៈគណនីអ្នកប្រើប្រាស់ Org C ។ URL ដឹកនាំទៅកាន់ SharePoint របស់ Org B ដែលឯកសារមេរោគត្រូវបានបង្ហោះសម្រាប់ទាញយក។

ជំហានទី 4

ការប៉ុនប៉ងជាច្រើនត្រូវបានធ្វើឡើងដើម្បីអនុវត្តប្រតិបត្តិការព្យាបាទដោយដៃតាមរយៈការចូលប្រើពីចម្ងាយ។ សកម្មភាពទាំងនេះជាចម្បងពាក់ព័ន្ធនឹងការខិតខំប្រឹងប្រែងតស៊ូ ដូចជាការបង្កើតកិច្ចការដែលបានកំណត់ពេលដើម្បីប្រតិបត្តិម្តងហើយម្តងទៀតនូវឯកសារដែលបានទាញយកដោយអ្នកវាយប្រហារ ដែលជាឧបករណ៍ RMM ដែលមានឈ្មោះថា LiteManager ("ROMServer.exe")។

schtasks /Create /TN "Perfomance monitoring" /SC MINUTE /TR C:\ProgramData\500000003\ROMServer.exe

ជំហានទី 5

បន្ទាប់ពីសកម្មភាពខាងលើ តារាសម្ដែងបានទាញយកឯកសារ .zip មួយផ្សេងទៀតដែលមានឈ្មោះថា Cliento.zip.


ដូចពីមុន តំណភ្ជាប់ត្រូវបានចែករំលែកនៅក្នុងការជជែករវាងអ្នកប្រើប្រាស់ជនរងគ្រោះ និងតួអង្គគំរាមកំហែង។ ឯកសារ .zip នេះរួមបញ្ចូលមេរោគចម្បង .JAR ក៏ដូចជាកញ្ចប់អភិវឌ្ឍន៍ Java ទាំងមូល ដើម្បីប្រតិបត្តិមេរោគ .JAR ។

ជំហានទី 6

តួអង្គគំរាមកំហែងបានប្រតិបត្តិមេរោគ .JAR ដោយប្រើដូចខាងក្រោម៖ C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar

ជំហានទី 7

សកម្មភាពបណ្តាញជាច្រើន និងការប្រតិបត្តិពាក្យបញ្ជាត្រូវបានកំណត់នៅក្រោមបរិបទនៃឯកសារ .JAR ដែលមានគំនិតអាក្រក់ រួមមានៈ


  • សំណើ DNS ចេញជាច្រើន/សកម្មភាពបណ្តាញទៅកាន់ → safeshift390-my.sharepoint.com

  • សំណើ DNS ចេញជាច្រើន/សកម្មភាពបណ្តាញទៅកាន់ → graph.microsoft.com

  • សំណើ DNS ចេញជាច្រើន/សកម្មភាពបណ្តាញទៅកាន់ → login.microsoftonline.com

  • ការអនុវត្ត​ពាក្យ​បញ្ជា​ចុះ​លេខ​មូលដ្ឋាន៖

    • ទទួល​បាន​លក្ខណៈ​ពិសេស​ប្រព័ន្ធ - Systeminfo
    • ទទួលបានព័ត៌មានពេលវេលាម៉ាស៊ីន - net time
    • ទទួលបាន UUID របស់ម៉ាស៊ីន ( ចងចាំមួយ យើងនឹងពិភាក្សាវានៅពេលក្រោយ ) - Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID
    • ការរាប់បញ្ចូលឧបករណ៍ USB - {$_.interfacetype -eq \"USB\"}"


រូបថតអេក្រង់ខាងក្រោមបង្ហាញពីផ្នែកសំខាន់ៗនៃមែកធាងដំណើរការទាក់ទងនឹងសកម្មភាពព្យាបាទ៖

រូបភាពទី ៤៖ មែកធាងដំណើរការសង្ខេបពី Next-Gen SIEM របស់ Hunters

ជំហានទី 8

អ្នកវាយប្រហារក៏បានបន្ថែម JAR binary ព្យាបាទជា runkey នៅក្នុងបញ្ជីឈ្មោះសម្រាប់ការប្រតិបត្តិជាប់លាប់នៃមេរោគ Java ។

បន្ទាត់ពាក្យបញ្ជា៖

Set-ItemProperty -Path \"HKCU:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" -Name \"current\" -Value \"C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar\" -ErrorAction Stop"


ការទប់ស្កាត់ និងលុបបំបាត់ឧបទ្ទវហេតុនេះ គឺមានភាពរហ័ស និងមានប្រសិទ្ធភាពបំផុត ហើយបើតាមភស្តុតាងធ្វើកោសល្យវិច្ច័យ យើងមាន មិនមានការចង្អុលបង្ហាញថា ជនវាយប្រហារអាចបង្កការខូចខាតធ្ងន់ធ្ងរដល់ម្ចាស់ផ្ទះ និងអង្គភាពរបស់ជនរងគ្រោះនោះទេ។


ការយល់ដឹងដ៏សំខាន់មួយពីលំហូរនៃការវាយប្រហារដែលបានរៀបរាប់ខាងលើគឺថា អ្នកវាយប្រហារបានប្រើប្រាស់សេវាកម្ម Microsoft ដែលគេស្គាល់ និងប្រើជាទូទៅផ្សេងៗគ្នា ជាផ្នែកនៃការវាយប្រហាររបស់គាត់ ទាំងសម្រាប់ការលាក់ខ្លួននៅក្នុងទិដ្ឋភាពធម្មតា និងសម្រាប់ភាពងាយស្រួលរបស់ពួកគេផងដែរ។


ចូរយើងសង្ខេបយ៉ាងឆាប់រហ័សនូវសេវាកម្ម Microsoft ដែលប្រើដោយអ្នកគំរាមកំហែង ដោយឥឡូវនេះដោយប្រើតារាងខាងក្រោម៖

សេវាកម្ម

អ្នកជួល

គោលបំណង

ក្រុម Microsoft

ពី Org A ទៅ Org C

Spear Phishing Messages ដើម្បីទាក់ទាញជនរងគ្រោះឱ្យទាញយក និងប្រតិបត្តិឧបករណ៍គ្រប់គ្រងពីចម្ងាយ

ជំនួយរហ័ស

អង្គការ គ

តួអង្គគំរាមកំហែងផ្ញើលេខកូដជំនួយរហ័សដោយប្រើសារ Microsoft Teams ដើម្បីទទួលបានការបញ្ជាពីចម្ងាយដំបូង

SharePoint

ពី Org B ទៅ Org C

ឯកសារព្យាបាទត្រូវបាន "បង្ហោះ" នៅក្នុងអ្នកជួល SharePoint របស់ Org B ។ តំណទាញយកត្រូវបានចែករំលែកជាមួយ Org C តាមរយៈសារ SharePoint ហើយបើកដោយអ្នកវាយប្រហារដោយប្រើជំនួយរហ័ស

API ក្រាហ្វ

ពី Org C ទៅ N/A

យើងមានការចង្អុលបង្ហាញអំពីការចូលប្រើកម្មវិធី Microsoft Graph (ក្រាហ្វ[.]microsoft[.]com) ដែលត្រូវបានផ្តួចផ្តើមដោយព្យាបាទ cliento.jar ។


នៅដំណាក់កាលនេះ យើងបានរកឃើញសេវាកម្ម/កម្មវិធី Microsoft ចំនួនបួនដែលបានរៀបរាប់ខាងលើ។ ខណៈពេលដែលយើងយល់ពីគោលបំណងនៃបីដំបូង សកម្មភាពដែលឆ្ពោះទៅរក Graph API នៅតែមិនច្បាស់លាស់។ យើងមានការសន្មត់ជាច្រើនអំពីគោលបំណងសក្តានុពលរបស់វា ប៉ុន្តែនៅក្នុងការឆ្លើយតបឧប្បត្តិហេតុ ការសន្មត់តែឯងមិនគ្រប់គ្រាន់ទេ តើវាឬ?


ដើម្បីប្រមូលព័ត៌មានបន្ថែម និងយល់កាន់តែច្បាស់អំពីមេរោគ .JAR 'Cliento.jar' នៅក្នុង OneDrive/SharePoint - ទាំងពីរដើម្បីវាយតម្លៃសកម្មភាពសក្តានុពលដែលធ្វើឡើងដោយអ្នកវាយប្រហារ និងដើម្បីទទួលបានការយល់ដឹងអំពីចេតនារបស់ពួកគេ - យើងបានបន្តការវិភាគលម្អិតនៃមេរោគនេះ។


“ODC2” Java Malware - OneDrive ជា Command & Control

យើងបានប្រើ Java Decompiler ដែលមានឈ្មោះថា "JDGUI" ដើម្បីបំបែកមេរោគ Client.jar (យើងដាក់ឈ្មោះថា "ODC2")។


គ្រាន់តែពីការមើលកម្រិតខ្ពស់ដំបូងនៅមេរោគ យើងអាចភ្ជាប់វាភ្លាមៗជាមួយនឹងការប្រតិបត្តិ PowerShell ដែលយើងបានឃើញនៅក្នុងការស៊ើបអង្កេតឧប្បត្តិហេតុ។ នេះគឺដោយសារតែការដាក់បញ្ចូលកញ្ចប់ Java “ jPowerShell ” ដែលជាកញ្ចប់ PowerShell សម្រាប់ Java ។


លើសពីនេះ យើងអាចមើលឃើញកញ្ចប់បន្ថែមដូចជា "ពាក្យបញ្ជា" "ការតភ្ជាប់" "កម្មវិធីបើកដំណើរការ" "ឬភ្ជាប់" ជាដើម។ វាផ្តល់ឱ្យយើងនូវការយល់ដឹងកម្រិតខ្ពស់អំពីរចនាសម្ព័ន្ធមេរោគ។


រូបភាពទី 5៖ រូបថតអេក្រង់របស់ Java decompiler


  1. យើងបានចាប់ផ្តើមជាមួយនឹង Main.class ក្រោមកញ្ចប់ "launcher" ហើយបានរកឃើញសំណុំនៃ hard-code credentials ដែលប្រើដោយ malware។ នេះ​គឺ​ជា​ការ​ភ្ញាក់​ផ្អើល​បន្តិច​សម្រាប់​យើង ប៉ុន្តែ​គួរ​ឱ្យ​ចាប់​អារម្មណ៍​ខ្លាំង​ណាស់​។


រូបភាពទី 6៖ រូបថតអេក្រង់របស់ Java Decompiler បង្ហាញមាតិកានៃឯកសារ Cliente.jar ដោយផ្តោតលើឯកសារ 'Main.class'


តាមរយៈការវិភាគបន្ថែមលើមេរោគ (ដូចបានរៀបរាប់ក្នុងការវិភាគលម្អិតខាងក្រោម) យើងបានរកឃើញថាមេរោគបានប្រើព័ត៌មានសម្គាល់អត្តសញ្ញាណទាំងនេះដើម្បីធ្វើការផ្ទៀងផ្ទាត់ "ក្នុងនាម" ទៅកាន់ Entra ID ។ ដើម្បីដំណើរការការផ្ទៀងផ្ទាត់នេះ សញ្ញាសម្ងាត់ធ្វើឱ្យស្រស់កូដរឹងត្រូវបានប្រើជាមួយលេខសម្គាល់អតិថិជន និងសម្ងាត់អតិថិជន ដើម្បីស្នើសុំនិមិត្តសញ្ញាចូលប្រើ។


ការផ្ទៀងផ្ទាត់បានអនុញ្ញាតឱ្យមេរោគចូលប្រើ OneDrive របស់អ្នកប្រើប្រាស់ Entra ID ជាក់លាក់ ដោយអ្នកជួលសន្មតថាជាកម្មសិទ្ធិរបស់តួអង្គ ដោយបំពានការចូលប្រើនេះសម្រាប់គោលបំណង C2 ។


  1. នៅក្នុងមុខងារសំខាន់នៃ Main.class យើងអាចមើលឃើញចំណុចចូលដោយខ្លួនវាផ្ទាល់ ដែលរួមមាន threads ជាច្រើន។ វារួមបញ្ចូលទាំងការប្រតិបត្តិមុខងារ "odThread1" និង "mainThread1" ។


រូបភាពទី 7៖ កំណាត់កូដ Java បង្ហាញវិធីសាស្ត្រចម្បងនៅក្នុងថ្នាក់ Java ដែលបានបំបែកដោយខ្សែស្រឡាយជាច្រើន (odThread1, odThread2, mainThread1, mainThread2) ចាប់ផ្តើមវត្ថុវត្ថុបញ្ជា


“odThread1” រួមបញ្ចូលទាំងការប្រតិបត្តិមុខងារ Controller “odRun” ដែលទទួលបានសំណុំដំបូងនៃ hardcoded credentials (Refresh Token ។ល។) សម្រាប់ការផ្ទៀងផ្ទាត់។


  • វាប្រើ "40.90.196.221" អាសយដ្ឋាន IP សម្រាប់ការដំឡើងការតភ្ជាប់ "odRun"

  • អាសយដ្ឋាន IP “40.90.196.228” សម្រាប់ “រត់” ចាប់ផ្តើមរន្ធ HTTPS ទៅកាន់ C2 របស់អ្នកវាយប្រហារ។ IP នេះគឺជា IP របស់ Azure ផងដែរ ហើយវាទំនងជាម៉ាស៊ីននិម្មិត។ ឆានែល C2 នេះ ដូចដែលបានរៀបរាប់ខាងក្រោមគឺ "បុរាណ" ច្រើនជាងមុន ហើយនាំទៅដល់ការប្រតិបត្តិពាក្យបញ្ជា PowerShell

  • ដើម្បីទទួលបានព័ត៌មានបន្ថែមអំពីអាសយដ្ឋាន IP ទាំងនេះ យើងបានពិនិត្យធនធានដែលគេស្គាល់ដូចជា ipinfo.io និងស្លាកសេវាកម្មនៃអាសយដ្ឋាន IP Azure ដែលបានបោះពុម្ពផ្សាយដោយ Microsoft ដូចដែលបានបង្ហាញក្នុងរូបថតអេក្រង់ខាងក្រោម៖



រូបភាពទី 8៖ ការរកមើល IP នៅខាងស្តាំផ្តល់នូវព័ត៌មានលម្អិតសម្រាប់ IP '40.90.196.228' ដែលភ្ជាប់ជាមួយ 'microsoft.com' នៅក្រោមប្រភេទ 'hosting' ដោយមិនមាន VPN, proxy, tor ឬ relay flags ត្រូវបានបើក


  • វាក៏មានតម្លៃក្នុងការនិយាយផងដែរថាអាសយដ្ឋាន IP កូដរឹងបន្ថែមដែលបានរកឃើញនៅក្នុងមេរោគនេះ (38.180.136.85) ហាក់ដូចជាត្រូវបានគ្រប់គ្រងដោយអ្នកផ្តល់សេវាផ្សេងទៀត ហើយត្រូវបានភ្ជាប់ជាមួយសេវាកម្មបង្ហោះ។ ដោយផ្អែកលើការយល់ដឹងរបស់យើង អាសយដ្ឋាន IP នេះមិនត្រូវបានប្រើប្រាស់យ៉ាងសកម្មដោយមេរោគនោះទេ។ យើងសន្មត់ថាវានៅទីនោះសម្រាប់ហេតុផលកេរ្តិ៍ដំណែល (ហេដ្ឋារចនាសម្ព័ន្ធ C2 ពីមុន)។


រន្ធ HTTPS C2

  1. ដោយការជីកជ្រៅបន្តិចទៅក្នុង “mainThread1()” ដែលដំណើរការមុខងារ “ctrl.run()” យើងអាចឃើញថាមុខងារ run() ព្យាយាមបង្កើតការតភ្ជាប់ ហើយពិនិត្យមើលជាប្រចាំថាតើការតភ្ជាប់នោះនៅរស់ឬអត់។ បន្ទាប់មកវាព្យាយាម "parseCommand" កាត់ផ្នែកដែលមិនពាក់ព័ន្ធចេញពីវា។


រូបភាពទី 9៖ អត្ថបទខ្លីៗនៃកូដ Java ពីថ្នាក់ Controller នៅក្នុងកម្មវិធី Java ដែលបាន decompiled


  1. មុខងារ "រត់" នេះប្រើ "ភ្ជាប់()" ដើម្បីដំឡើង/កំណត់ការតភ្ជាប់ឡើងវិញ។ វាបង្កើតរន្ធមួយទៅកាន់អាសយដ្ឋាន IP ពីចម្ងាយដែលយើងបានឃើញខាងលើ - 40.90.196.228 ។

  2. មុខងារ "រត់" នេះប្រើ "CommandManager" ដែលរួមបញ្ចូលការដោះស្រាយផ្សេងៗគ្នាសម្រាប់ប្រភេទផ្សេងគ្នានៃពាក្យបញ្ជា/សមត្ថភាពដែលមេរោគនេះផ្តល់ឱ្យ រួមទាំងការផ្ទេរឯកសារពីម៉ាស៊ីនភ្ញៀវទៅម៉ាស៊ីនមេ និងពីម៉ាស៊ីនមេទៅម៉ាស៊ីនភ្ញៀវ ការបង្ហាប់ឯកសារ រូបថតអេក្រង់ ការបិទការតភ្ជាប់បណ្តាញ និង។ ជាការពិតណាស់ការប្រតិបត្តិពាក្យបញ្ជា។


វាពិនិត្យមើលថាតើពាក្យបញ្ជាដែលបានទទួលគឺទទេឬប្រសិនបើពាក្យបញ្ជាពិតប្រាកដត្រូវបានទទួលពីម៉ាស៊ីនមេ C2 ។


រូបភាពទី 10៖ រូបថតអេក្រង់នៃកូដ Java ពីថ្នាក់ CommandManager នៅក្នុងកម្មវិធី Java ដែលបានបំបែក


  1. ប្រសិនបើ​រក​ឃើញ​ពាក្យ​បញ្ជា វា​ញែក​វា​ហើយ​ប្រតិបត្តិ​វា។ ការប្រតិបត្តិគឺជាមូលដ្ឋាននៅក្រោមបរិបទនៃ PowerShell ។


    ការប្រតិបត្តិនៃពាក្យបញ្ជាចូលជាពាក្យបញ្ជា PowerShell កំពុងត្រូវបានអនុវត្តដោយប្រើ jPowerShell wrapper ដែលយើងបាននិយាយពីមុន។

រូបភាពទី 11៖ អត្ថបទកូដ Java ពីថ្នាក់ CommandManager នៅក្នុងកម្មវិធី Java ដែលបានបំបែក


ពាក្យបញ្ជា និងការគ្រប់គ្រង OneDrive

មុនពេលស្វែងយល់ពីស្នូលនៃមុខងារ OneDrive C2 វាជារឿងសំខាន់ដែលត្រូវកត់សម្គាល់ថា ផ្នែកសំខាន់ៗនៃកូដរបស់មេរោគនេះពឹងផ្អែកយ៉ាងខ្លាំងលើ 'ប្រភេទ' ជាក់លាក់នៃឯកសារ OneDrive ចំនួនបី៖ UUID, cf_UUID និង rf_UUID ។ ដូចដែលបានសង្កេតឃើញនៅក្នុងការស៊ើបអង្កេតរបស់យើង ពាក្យបញ្ជា Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID ត្រូវបានប្រតិបត្តិ ដោយបង្ហាញ UUID នៃផ្នែករឹងឧបករណ៍។ ឧបករណ៍កំណត់អត្តសញ្ញាណពិសេសនេះបម្រើដើម្បីសម្គាល់ជនរងគ្រោះម្នាក់ៗនៅក្នុងយុទ្ធនាការ VEILDrive ។


ប្រភេទឯកសារនីមួយៗមានតួនាទីផ្សេងគ្នានៅក្នុងប្រតិបត្តិការរបស់មេរោគ។ រូបថតអេក្រង់ខាងក្រោមផ្តល់នូវឧទាហរណ៍នៃឯកសារទាំងនេះ និងតួនាទីចម្បងរបស់ពួកគេក្នុងការប្រតិបត្តិមេរោគ។


រូបភាពទី 12៖ រូបថតអេក្រង់បង្ហាញឯកសារបីនៅក្នុងថតមួយ ដែលនីមួយៗមាន UUID តែមួយគត់


តោះចូលទៅក្នុងលំហូរនៃមុខងារ OneDrive C2 និងរបៀបដែលឯកសារ UUID ទាំងនោះត្រូវបានប្រើប្រាស់ក្នុងការអនុវត្ត៖


  1. បន្ថែមពីលើសមត្ថភាពប្រតិបត្តិពីចម្ងាយបែបបុរាណនៅលើ PowerShell មុខងារ "odRun" ទទួលខុសត្រូវចំពោះខ្សែស្រឡាយមួយផ្សេងទៀតដោយផ្អែកលើ "OneDrive" ជាបណ្តាញទំនាក់ទំនង។ នេះគឺជាផ្នែកតែមួយគត់នៃមេរោគនេះ។


    "odRun" ដូចដែលយើងឃើញវាប្រហែលជាត្រូវបានដាក់ឈ្មោះតាម "OneDrive" (OneDriveRun) និងរួមបញ្ចូលការបង្កើតការតភ្ជាប់ OneDrive ដោយប្រើមុខងារ "Odconnect" ជាជំហានដំបូង:


រូបភាពទី 13៖ បណ្តុំកូដ Java បង្ហាញវិធីសាស្ត្រ odRun ដែលយកប៉ារ៉ាម៉ែត្ររួមមាន tenantId, clientId, clientSecret, grantType, accessToken និង refreshToken


  1. ដូចដែលអ្នកអាចឃើញដំបូងខ្សែ "machineUUID" ត្រូវបានកំណត់ជាខ្សែអក្សរទទេ។ បន្តដោយការប្រតិបត្តិនៃមុខងារ “getMachineUUID()” ដែលជាឈ្មោះរបស់វាបានបង្ហាញ ទទួលបាន Machine UUID នៃឧបករណ៍ជនរងគ្រោះ៖


រូបភាពទី 14៖ កំណាត់កូដ Java បង្ហាញវិធីសាស្ត្រ getMachineUUID ដែលទាញយក UUID របស់ម៉ាស៊ីន។ វិធីសាស្ត្រប្រតិបត្តិពាក្យបញ្ជា PowerShell 'Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID' ហើយផ្តល់លទ្ធផលទៅអថេរ machineUUID មុនពេលបញ្ជូនវាមកវិញ


  1. បន្ទាប់មកយើងអាចឃើញថាការតភ្ជាប់ OneDrive កំពុងត្រូវបានអនុវត្តដោយប្រើមុខងារ "OdConnect" - ការតភ្ជាប់កំពុងត្រូវបានធ្វើឡើងដើម្បី "ចូល[.]microsoftonline[.]com" សម្រាប់ការបង្កើត/ធ្វើបច្ចុប្បន្នភាពនៃសំណុំនៃសញ្ញាចូលប្រើប្រាស់ថ្មី និងថូខឹនផ្ទុកឡើងវិញ .


រូបភាពទី 15៖ អត្ថបទខ្លីៗនៃកូដ Java បង្ហាញវិធីសាស្ត្រ updateTokens ក្នុងថ្នាក់ Odconnect


  1. មុខងារ “WriteFileToOneDrive” គឺជាមុខងារបន្ទាប់ដែលត្រូវបានហៅ ដរាបណាមិនមានឯកសារដែលមានឈ្មោះជា UUID ម៉ាស៊ីនជនរងគ្រោះបច្ចុប្បន្ននៅក្នុងកុំព្យូទ័រគោលដៅ ដោយផ្អែកលើការត្រួតពិនិត្យដែលធ្វើឡើងដោយមុខងារ “checkFile”។
  • ”checkFile”៖ មុខងារនេះពិនិត្យមើលថាតើមានឯកសារដែលមានឈ្មោះ == machineUUID នៅក្នុងថតផ្ទះរបស់អ្នកប្រើប្រាស់បច្ចុប្បន្ន OneDrive


រូបភាពទី 16៖ ស្គ្រីបកូដ Java បង្ហាញវិធីសាស្ត្រ checkFile ក្នុងថ្នាក់ Odconnect ។ វិធីសាស្ត្រនេះពិនិត្យរកមើលអត្ថិភាពនៃឯកសារនៅក្នុង OneDrive ដោយប្រើ Microsoft Graph API ដើម្បីរាយបញ្ជីឯកសារនៅក្នុងថតឫស


  1. ប្រសិនបើមិនមានឯកសារបែបនេះទេ “writeFileToOneDrive()” ចូលទៅក្នុងហ្គេម ហើយបង្កើតឯកសារមួយដែលមានឈ្មោះថា UUID កុំព្យូទ័រជនរងគ្រោះបច្ចុប្បន្នដោយគ្មានបុព្វបទណាមួយឡើយ។


រូបភាពទី 17៖ កំណាត់កូដ Java បង្ហាញវិធីសាស្ត្រ writeFileToOneDrive ក្នុងថ្នាក់ Odconnect ។ វិធីសាស្រ្តនេះផ្ទុកឡើងឯកសារទៅ OneDrive ដោយផ្ញើសំណើ PUT ទៅ Microsoft Graph API


  1. ផ្នែកបន្ទាប់នៃ "odRun" គឺជាមុខងារ "getFiles()" ដែលទទួលបានមាតិកានៃ UUID ។


ឯកសារ OneDrive ដែលត្រូវបានដាក់ឈ្មោះដោយ machineUUID នៃឧបករណ៍ (ដោយគ្មានបុព្វបទ)។

  • ប្រសិនបើខ្លឹមសារនៃឯកសារមិនទទេ វាពិនិត្យមើលថាតើវា ចាប់ផ្តើម ដោយពាក្យ "ផ្ញើ"៖
    • វាដំណើរការធម្មតានៃមាតិកា ដោយរៀបចំវាសម្រាប់ការត្រួតពិនិត្យបន្ទាប់ - ដោយយកខ្សែអក្សរ "ផ្ញើ" ហើយជំនួស "\"" ដោយ "" (គ្មានអ្វី) រក្សាទុកវានៅក្នុងអថេរដែលមានឈ្មោះថា " filenameForDownload "
    • filenameForDownload កំពុងត្រូវបានបញ្ជូនទៅមុខងារ getFileDownloadUrl ។ វាទទួលបានឯកសារនៃជម្រើសរបស់អ្នកវាយប្រហារ។ អ្នកវាយប្រហារនឹងបញ្ជាក់ឈ្មោះឯកសារបន្ទាប់ពីពាក្យ "ផ្ញើ" នៅក្នុងឯកសារ UUID ហើយរក្សាទុកវាទៅផ្លូវគោលដៅដែលបានបញ្ជាក់នៅលើម៉ាស៊ីនជនរងគ្រោះដែលជា "user.home"\ downloads (ថតឯកសារទាញយក) ។
    • បន្ទាប់ពីនោះ មុខងារ " downloadFile " កំពុងត្រូវបានហៅ ទាញយកឯកសារពីចម្ងាយទៅកាន់ឧបករណ៍ជនរងគ្រោះក្នុងតំបន់ ដោយផ្អែកលើលទ្ធផលនៃមុខងារ getFileDownloadUrl
    • អ្នកវាយប្រហារទទួលបានការចង្អុលបង្ហាញអំពីការប្រតិបត្តិឯកសារដោយប្រើ " writeFileToOneDrive " ដែលត្រូវបានប្រតិបត្តិភ្លាមៗបន្ទាប់ពីជាផ្នែកមួយនៃ "odRun" ដើម្បីសរសេរ "rf_" + "ផ្ញើឯកសារ" + filenameForDownload + "រួចរាល់" → ដើម្បីឱ្យអ្នកវាយប្រហារដឹង ថាការប្រតិបត្តិត្រូវបានធ្វើឡើង។ បន្ទាប់ពីនោះ មានការប្រតិបត្តិមួយផ្សេងទៀតនៃ "writeFileToOneDrive" ដែលក្នុងនោះ ឯកសារមួយទៀតដែលមានឈ្មោះថា "cf_" + machineUUID កំពុងត្រូវបានសរសេរទៅកាន់ OneDrive ដោយគ្មានខ្លឹមសារនៅក្នុងវា។
  • ប្រសិនបើខ្លឹមសារនៃឯកសារមិនទទេ ប៉ុន្តែ មិន ចាប់ផ្តើមដោយ "ផ្ញើ"៖
    • ខ្លឹមសារនៃឯកសារ cf_MachineUUID នឹងត្រូវបានប្រតិបត្តិ។

    • បន្ទាប់មកម្តងទៀតដោយការសរសេរឯកសារទៅ OneDrive ដោយប្រើ " writeFileToOneDrive " ទីមួយ "rf_" + machineUUID ជាមួយនឹងខ្លឹមសារនៃការឆ្លើយតបនៃការប្រតិបត្តិ។

    • និងការប្រើប្រាស់មួយផ្សេងទៀតនៃ " writeFileToOneDrive " ដើម្បីសរសេរ និងទទេឯកសារ "cf_" ជាមូលដ្ឋានការពារការប្រតិបត្តិមួយផ្សេងទៀតនៃពាក្យបញ្ជាដូចគ្នា (ចាប់តាំងពីមេរោគដំណើរការនៅក្នុងរង្វិលជុំមួយ) ។


ដើម្បីសង្ខេបខ្លីៗ មេរោគនេះហាក់ដូចជាមានបណ្តាញ C2 ផ្សេងគ្នាដែលវាអាចដំណើរការជាមួយ៖


  • HTTPS Socket C2 ៖ វិធីសាស្រ្តបុរាណជាង ដោយទទួលពាក្យបញ្ជាពីចម្ងាយ Azure VM និងប្រតិបត្តិពួកវាក្រោមបរិបទនៃ PowerShell ។

  • C2 ដែលមានមូលដ្ឋានលើ OneDrive ៖ នេះគឺប្លែកជាង ហើយវិធីដែលវាដំណើរការគឺស្មុគស្មាញ និងច្នៃប្រឌិតជាងបន្តិច។ វារួមបញ្ចូលឯកសារបីផ្សេងគ្នា ដែលឯកសារទាំងអស់នោះរួមបញ្ចូល UUID នៃឧបករណ៍ជនរងគ្រោះ ដែលខ្លះមានបុព្វបទ (rf_ និង cf_)។ ដើម្បីធ្វើឱ្យវាមានភាពងាយស្រួលសម្រាប់អ្នកគំរាមកំហែងក្នុងការផ្ញើពាក្យបញ្ជា និងទទួលពួកវាដោយប្រើ Microsoft Graph ។


    ចំណាំ ៖ វាសំខាន់ក្នុងការនិយាយថាមេរោគនេះមានសមត្ថភាពបន្ថែមក្រៅពីការប្រតិបត្តិពាក្យបញ្ជាស្តង់ដារ រួមទាំងការផ្ទេរឯកសារផងដែរ។ ទោះជាយ៉ាងណាក៏ដោយ ព័ត៌មានលម្អិតខាងលើផ្តោតលើទិដ្ឋភាពប្រតិបត្តិពាក្យបញ្ជាតែប៉ុណ្ណោះ។


Microsoft Services/Apps ជាហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារ

ត្រង់ចំណុចនេះ វាច្បាស់ណាស់ថា ការវាយប្រហារនេះបានរួមបញ្ចូលគ្នាយ៉ាងប៉ិនប្រសប់នូវបច្ចេកទេសសាមញ្ញ ជាមួយនឹងល្បិចដ៏ទំនើប និងប្លែកពីគេ។ លក្ខណៈពិសេសលេចធ្លោមួយពីការស៊ើបអង្កេតដំបូងរបស់យើងគឺការប្រើប្រាស់យ៉ាងទូលំទូលាយនៃហេដ្ឋារចនាសម្ព័ន្ធ និងសេវាកម្ម Microsoft ដែលរួមបញ្ចូលគ្នាពេញមួយយុទ្ធនាការ។

បន្ទាប់ពីការវិភាគមេរោគ និងភ្ជាប់ព័ត៌មានថ្មីជាមួយនឹងការយល់ដឹងពីការស៊ើបអង្កេតរបស់យើង យើងទទួលបានការយល់ដឹងកាន់តែច្បាស់អំពីការប្រើប្រាស់សេវាកម្មផ្សេងៗរបស់អ្នកវាយប្រហារ និងគោលបំណងរបស់ពួកគេ។ យើងបានរកឃើញថាការប្រើប្រាស់សេវាកម្ម និងហេដ្ឋារចនាសម្ព័ន្ធរបស់ Microsoft គឺកាន់តែទូលំទូលាយជាងការដឹងដំបូង។


សូមមើលតារាងខាងក្រោមសម្រាប់ការសង្ខេបខ្លីៗ៖

សេវាកម្ម

អ្នកជួល

គោលបំណង

ក្រុម Microsoft

ពី Org A ទៅ Org C

Spear Phishing Messages ដើម្បីទាក់ទាញជនរងគ្រោះឱ្យទាញយក និងប្រតិបត្តិឧបករណ៍គ្រប់គ្រងពីចម្ងាយ

ជំនួយរហ័ស

អង្គការ គ

តួអង្គគំរាមកំហែងផ្ញើលេខកូដជំនួយរហ័សដោយប្រើសារ Microsoft Teams ដើម្បីទទួលបានការបញ្ជាពីចម្ងាយដំបូង

SharePoint

ពី Org B ទៅ Org C

ឯកសារព្យាបាទត្រូវបាន "បង្ហោះ" នៅក្នុងអ្នកជួល SharePoint នៃ Org B ។ តំណទាញយកត្រូវបានចែករំលែកជាមួយ Org C តាមរយៈសារ SharePoint ហើយបើកដោយអ្នកវាយប្រហារដោយប្រើជំនួយរហ័ស

Azure VM

ហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារ

មេរោគបានទាក់ទងជាមួយម៉ាស៊ីននិម្មិត Azure ដែលជាកម្មសិទ្ធិរបស់តួអង្គគំរាមកំហែងសម្រាប់គោលបំណង HTTPS Socket C2

OneDrive (Graph API)

រវាងម៉ាស៊ីន OneDrive និង Org C របស់អ្នកវាយប្រហារ

តួអង្គគំរាមកំហែងបានប្រើ OneDrive ជាប៉ុស្តិ៍ C2 បន្ថែម ដើម្បីទទួលបានសមត្ថភាពដូចជាការប្រតិបត្តិពីចម្ងាយនៃពាក្យបញ្ជា ការថតអេក្រង់ ការទាញយក/ផ្ទុកឡើងឯកសារជាដើម។ កំណត់គោលដៅម៉ាស៊ីន Org C

ការចុះឈ្មោះកម្មវិធី Azure AD

រវាងអ្នកវាយប្រហារ OneDrive & Org C host(s

កម្មវិធី​នេះ​ត្រូវ​បាន​ប្រើ​សម្រាប់​ការ​ផ្ទៀងផ្ទាត់​ក្នុង​នាម​គណនី​អ្នក​ប្រើ Azure AD ដែល​ជា​កម្មសិទ្ធិ​របស់​តារា​សម្ដែង ហើយ​ចូល​ប្រើ​វា​ជា​ថត​ផ្ទះ OneDrive


សូចនាករនៃការសម្របសម្រួល (IOCS)

  • អ្នកជួល Entra ID ដែលស្គាល់ជាកម្មសិទ្ធិរបស់អ្នកវាយប្រហារ៖
    • C5f077f6-5f7e-41a3-8354-8e31d50ee4d
    • 893e5862-3e08-434b-9067-3289bec85f7d
  • កម្មវិធីដែលគេស្គាល់បានចុះឈ្មោះដោយលេខសម្គាល់អតិថិជនអ្នកវាយប្រហារ៖
    • B686e964-b479-4ff5-bef6-e360321a9b65
    • 2c73cab1-a8ee-4073-96fd-38245d976882
  • អ្នកជួលលេខសម្គាល់ Entra ប្រើដោយអ្នកវាយប្រហារ (រកមើលសំណើ DNS ដែលចេញទៅកាន់ដែនទាំងនោះ)៖
    • SafeShift390[.]onmicrosoft[.]com
    • GreenGuard036[.]onmicrosoft[.]com
  • ឯកសារ IOCs (SHA256) បានរកឃើញជាផ្នែកមួយនៃការស៊ើបអង្កេត៖
    • ROMServer.exe a515634efa79685970e0930332233aee74ec95aed94271e674445712549dd254
    • HookDrv.dll 1040aede16d944be8831518c68edb14ccbf255feae3ea200c9401186f62d2cc4
    • ROMFUSClient.exe 7f61ff9dc6bea9dee11edfbc641550015270b2e8230b6196e3e9e354ff39da0e
    • AledensoftIpcServer.dll d6af24a340fe1a0c6265399bfb2823ac01782e17fc0f966554e01b6a1110473f
    • ROMwln.dll 7f33398b98e225f56cd287060beff6773abb92404afc21436b0a20124919fe05
  • អាសយដ្ឋាន IP៖
    • 40.90.196[.]221
    • 40.90.196[.]228
    • 38.180.136[.]85
    • 213.87.86[.]192



សំណួរស្វែងរកការគំរាមកំហែង

បន្ថែមពីលើ IOCs ជាក់លាក់ដែលបានរៀបរាប់ខាងលើ យើងបានបង្កើតឡើងនូវសំណួរស្វែងរកការគំរាមកំហែងជាច្រើនដែលអាចត្រូវបានប្រើដើម្បីស្វែងរកការវាយប្រហារដែលមានប្រភពមកពីតួអង្គដូចគ្នា ធ្វើឡើងក្រោមយុទ្ធនាការដូចគ្នា ឬការចែករំលែកលក្ខណៈស្រដៀងគ្នា (TTPs)

ចំណាំ៖ ពេលវេលាប្រមាញ់ដែលបានណែនាំសម្រាប់ VEILDrive គឺចាប់ពីខែកក្កដា ឆ្នាំ 2024។


សំណួរការបរបាញ់ 1 ៖ Javaw Spawning Powershell ជាមួយនឹងទង់ជាក់លាក់ - អាកប្បកិរិយាមិនធម្មតា

  • តក្កវិជ្ជាសំណួរ៖ ក្នុងអំឡុងពេលនៃការវិភាគរបស់យើង យើងបានកំណត់ថាឧបករណ៍ចូលប្រើពីចម្ងាយ (RAT) របស់អ្នកវាយប្រហារបានប្រើ Powershell ដើម្បីទៅយក UUID របស់ម៉ាស៊ីនជាផ្នែកនៃដំណើរការប្រតិបត្តិរបស់វា។ សំណួរនេះរកឃើញករណីមិនធម្មតានៃ Powershell ដែលត្រូវបានបង្កើតដោយ javaw.exe ជាមួយនឹងទង់បន្ទាត់ពាក្យបញ្ជាជាក់លាក់ដែលប្រើដោយអ្នកគំរាមកំហែង។

  • សំណួរ៖

     SELECT EVENT_TIME, AGENT_ID, PARENT_PROCESS_NAME, PARENT_PROCESS_COMMANDLINE, INITIATING_PROCESS_NAME, INITIATING_PROCESS_COMMANDLINE, TARGET_PROCESS_NAME, TARGET_PROCESS_COMMANDLINE, TARGET_PROCESS_OS_PID FROM INVESTIGATION.EDR_PROCESS_CREATION_EVENTS WHERE 1=1 AND PARENT_PROCESS_NAME ILIKE '%javaw%' AND INITIATING_PROCESS_NAME ILIKE '%cmd%' AND TARGET_PROCESS_NAME ILIKE '%powershell%' AND TARGET_PROCESS_COMMANDLINE ILIKE 'powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile %' AND EVENT_TIME > current_timestamp - interval '60d'


សំណួរការបរបាញ់ 2៖ ROM Tool Persistence តាមរយៈកិច្ចការដែលបានកំណត់ពេល

  • តក្កវិជ្ជាសំណួរ៖ សំណួរនេះរកឃើញករណីនៃកិច្ចការដែលបានកំណត់ពេលចុះឈ្មោះជាមួយនឹងការប្រតិបត្តិឧបករណ៍ ROM ដែលប្រើដោយអ្នកគំរាមកំហែងសម្រាប់ការបន្ត។

  • សំណួរ៖

     SELECT EVENT_TIME AS EVENT_TIME, AID AS AGENT_ID, CID AS COMPUTER_ID, EVENT_SIMPLE_NAME AS EVENT_NAME, RAW:TaskName AS TASK_NAME, RAW:TaskExecCommand AS TASK_EXEC_COMMAND, RAW:TaskAuthor AS TASK_AUTHOR, RAW:UserName AS USER_NAME --- Adjust according to your EDR of choice FROM RAW.CROWDSTRIKE_RAW_EVENTS WHERE EVENT_SIMPLE_NAME = 'ScheduledTaskRegistered' AND TASK_EXEC_COMMAND ILIKE '%romserver%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d'


HUNTING QUERY 3 ៖ អ្នក​ប្រើ​ដែល​មិន​មែន​ជា​អង្គការ​ចែករំលែក​តំណ​ទៅ​កាន់​ដែន​ចែករំលែក​ចំណុច​របស់​ភាគី​ទី​បី​តាម​រយៈ​ក្រុម Microsoft

  • តក្កវិជ្ជាសំណួរ៖ សំណួរនេះរកឃើញករណីដែលតំណភ្ជាប់ SharePoint ត្រូវបានចែករំលែកនៅក្នុងការជជែកជាក្រុម ប៉ុន្តែដែននៃតំណ SharePoint មិនមែនជារបស់អ្នកចូលរួមជជែកណាមួយឡើយ។ នេះអាចបង្ហាញពីការប៉ុនប៉ងក្លែងបន្លំដែលអាចកើតមាន ឬការទាញយកទិន្នន័យ ដែលដែនខាងក្រៅកំពុងត្រូវបានប្រើដើម្បីចែករំលែកឯកសារ ឬព័ត៌មានជាមួយអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យនៅក្នុងស្ថាប័ន។
  • សំណួរ៖
 SET YOUR_ORGANIZATION_NAME = 'hunters'; SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, OPERATION AS EVENT_TYPE, SPLIT_PART(LOWER(SPLIT_PART(USER_ID, '@', 2)), '.', 1) AS SENDER_ORG_DOMAIN, RECORD_SPECIFIC_DETAILS:message_ur_ls AS MESSAGE_URLS, WORKLOAD AS WORKLOAD, USER_ID AS USER_ID, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS FROM RAW.O365_AUDIT_LOGS WHERE NOT USER_ID ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND (NOT (MESSAGE_URLS ILIKE '%' || SENDER_ORG_DOMAIN || '%') AND MESSAGE_URLS ILIKE '%sharepoint%') AND NOT MESSAGE_URLS ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d'


សំណួរតាមប្រមាញ់ 4 ៖ ក្រុម Microsoft - ការរកឃើញការបន្លំ - DM ច្រើនពីដែនមិនមែនទូទៅ

  • តក្កវិជ្ជាសំណួរ៖ សំណួរខាងក្រោមរកឃើញសារដែលបានផ្ញើនៅក្នុងការជជែកមួយទល់នឹងមួយដោយអ្នកប្រើប្រាស់ខាងក្រៅពីដែនមិនមែនទូទៅ។ សំណួរត្រងចេញនូវដែនដែលបានប្រើយ៉ាងទូលំទូលាយដោយផ្អែកលើសកម្មភាពប្រវត្តិសាស្រ្ត និងកំណត់អត្តសញ្ញាណសមាជិកខាងក្រៅដែលបានបន្ថែមទៅការជជែកដែលអាចនឹងកំពុងធ្វើការវាយប្រហារដោយបន្លំ។

  • សំណួរ៖

     SET YOUR_DOMAIN_NAME = 'hunters'; --- GET EXTERNAL TEAMS AND ONEDRIVE USERS OF THE LAST 3 MONTHS - TO CLEAN EXTENSIVELY USED DOMAINS WITH COMMONLY_USED_DOMAINS AS ( SELECT LOWER(SPLIT_PART(USER_ID , '@', 2)) AS DOMAIN_COMMONLY_USED, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE WORKLOAD IN ('MicrosoftTeams', 'OneDrive') AND EVENT_TIME > CURRENT_TIMESTAMP - interval '90d' AND USER_ID ILIKE '%@%' GROUP BY DOMAIN_COMMONLY_USED HAVING COUNTER > 20 ), ---- Get List of External Domains that recently communicated with our organization using Microsoft Teams LATEST_EXTERNAL_DOMAINS AS ( SELECT USER_ID AS LATEST_EXT_USERS, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, ARRAY_AGG(DISTINCT RECORD_SPECIFIC_DETAILS:communication_type) AS COMMUNICATION_TYPE, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE EVENT_TIME > CURRENT_TIMESTAMP - interval '50d' AND NOT USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND NOT USER_ID IN ('app@sharepoint') AND USER_ID ILIKE '%@%' -- CLEAN-UP OF EXTENSIVELY USED DOMAINS AND USER_DOMAIN NOT IN (SELECT DISTINCT DOMAIN_COMMONLY_USED FROM COMMONLY_USED_DOMAINS) AND OPERATION IN ('MemberAdded', 'ChatCreated') AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' GROUP BY USER_ID HAVING COUNT(*) > 5 ) SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, WORKLOAD AS WORKLOAD, OPERATION AS OPERATION, USER_ID AS USER_ID, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME_0, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN_0, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS_0, RECORD_SPECIFIC_DETAILS:members[1].DisplayName AS MEMBER_DISPLAY_NAME_2, RECORD_SPECIFIC_DETAILS:members[1].UPN AS MEMBER_UPN_2, RECORD_SPECIFIC_DETAILS:members[1] AS MEMBERS_2, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS, RAW:ClientIP AS CLIENT_IP FROM RAW.O365_AUDIT_LOGS WHERE 1=1 AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' AND ( RECORD_SPECIFIC_DETAILS:members[0].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) OR RECORD_SPECIFIC_DETAILS:members[1].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) ) AND USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND OPERATION = 'MemberAdded' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '50d';
  • តក្កវិជ្ជាសំណួរស៊ីជម្រៅ៖ ដោយសារសំណួរនេះស្មុគស្មាញបន្តិច នេះគឺជាការពន្យល់អំពីតក្កវិជ្ជា។ ដំបូង យើងប្រើមុខងារ "CTE" នៃ Snowflake ដើម្បីបង្កើតទិដ្ឋភាពពីរ៖

    1. COMMONLY_USED_DOMAINS៖
      • យើងដកឈ្មោះដែនចេញពីលេខសម្គាល់អ្នកប្រើប្រាស់ដោយបំបែកខ្សែអក្សរបន្ទាប់ពី '@' ។
      • រាប់ព្រឹត្តិការណ៍ទាំងអស់ដែលបង្កើតដោយដែននីមួយៗក្នុងរយៈពេល 90 ថ្ងៃកន្លងមក
      • រក្សាដែនដែលមានព្រឹត្តិការណ៍ច្រើនជាង 20 ហើយចាត់ទុកវាជារឿងធម្មតា។ អ្នកអាចកែតម្រូវវាតាមតម្រូវការរបស់អ្នក។
    2. LATEST_EXTERNAL_DOMAINS៖
      • ត្រងចេញដែនខាងក្នុង និងដែនដែលប្រើជាទូទៅដែលកំណត់អត្តសញ្ញាណក្នុងទិដ្ឋភាពមុនពីព្រឹត្តិការណ៍ទាំងអស់ក្នុងរយៈពេល 50 ថ្ងៃចុងក្រោយ
      • សាកសួរដែនទាំងអស់ដែលមានព្រឹត្តិការណ៍ច្រើនជាង 5 ដែលពាក់ព័ន្ធនឹងការផ្ញើសារផ្ទាល់ និងការបន្ថែមសមាជិកទៅក្រុម។

    ជាចុងក្រោយ យើងទៅយកព័ត៌មានលំអិតអំពីអ្នកប្រើប្រាស់ និងដែនដែលពាក់ព័ន្ធរបស់ពួកគេដោយសួរលទ្ធផលដែលបានត្រងពី LATEST_EXTERNAL_DOMAINS ។


អាហារបំប៉នអនាម័យ

យើងគ្របដណ្តប់លើទិដ្ឋភាពតាមប្រមាញ់ និងការស៊ើបអង្កេតទាក់ទងនឹងបច្ចេកទេសវាយប្រហារជាច្រើនដែលប្រើដោយតួសម្តែង។ វិធីសាស្រ្ត និងបច្ចេកទេសព្យាបាទមួយចំនួន ត្រូវបានគេស្គាល់ផងដែរ ដើម្បីប្រើប្រាស់ក្នុងយុទ្ធនាការផ្សេងៗ។

ការការពារស្ថាប័នរបស់អ្នកពីការគំរាមកំហែងទាំងនោះអាចកាត់បន្ថយយ៉ាងខ្លាំងនូវហានិភ័យនៃការវាយប្រហារដោយជោគជ័យដែលផ្តោតលើផ្នែកផ្សេងៗនៃហេដ្ឋារចនាសម្ព័ន្ធស្ថាប័នរបស់អ្នក។

នេះគឺជាអាហារបំប៉នអនាម័យមួយចំនួនដែលអាចត្រូវបានប្រើដើម្បីបង្កើនឥរិយាបថសុវត្ថិភាពរបស់អ្នក៖


  1. ដើម្បីកាត់បន្ថយឱកាសនៃការវាយប្រហារដោយបន្លំដោយជោគជ័យតាមរយៈក្រុម Microsoft នេះគឺជាជំហានមួយចំនួនដែលអ្នកអាចអនុវត្តបាន៖
    • តាមលំនាំដើម ក្រុម Microsoft អនុញ្ញាតឱ្យ "ការចូលប្រើខាងក្រៅ" ដែលអនុញ្ញាតឱ្យជជែកគ្នាទល់នឹងមួយជាមួយទំនាក់ទំនងខាងក្រៅ។ ប្រសិនបើវាមិនសំខាន់សម្រាប់ស្ថាប័នរបស់អ្នកទេ សូមពិចារណាបិទជម្រើសនេះ។
    • ប្រសិនបើការប្រាស្រ័យទាក់ទងខាងក្រៅគឺចាំបាច់ កំណត់វាទៅតែដែនដែលអាចទុកចិត្តបាន។
    • វិធីមួយទៀតដើម្បីទំនាក់ទំនងជាមួយភាគីខាងក្រៅនៅក្នុងក្រុម Microsoft គឺដោយការបន្ថែមពួកគេជាភ្ញៀវ ឬសមាជិក។ យើងសូមផ្តល់អនុសាសន៍យ៉ាងមុតមាំឱ្យដាក់កម្រិតលើមុខងារនេះ ដោយអនុញ្ញាតឱ្យជ្រើសរើសតែអ្នកប្រើប្រាស់ដែលមានសិទ្ធិខ្ពស់ក្នុងការគ្រប់គ្រងវា។
  2. ការកើនឡើងនៃការវាយប្រហារតាមអ៊ីនធឺណិតដោយប្រើឧបករណ៍គ្រប់គ្រងពីចម្ងាយ អំពាវនាវឱ្យមានភាពខុសគ្នាច្បាស់លាស់រវាងឧបករណ៍ដែលប្រើដោយស្របច្បាប់ និងឧបករណ៍ដែលត្រូវបានកេងប្រវ័ញ្ចដោយអ្នកគំរាមកំហែង។ នេះជាការណែនាំមួយចំនួន៖
    • កំណត់ឧបករណ៍គ្រប់គ្រងពីចម្ងាយចំពោះកម្មវិធីជាក់លាក់ និងដែលត្រូវបានអនុម័តដែលត្រូវការសម្រាប់គោលបំណងអាជីវកម្ម។ Quick Assist អាចទាញយកបានយ៉ាងងាយស្រួលពី Microsoft Store ។ ពិចារណាទប់ស្កាត់ការប្រើប្រាស់របស់វា ប្រសិនបើវាមិនមាននៅក្នុងបញ្ជីសរបស់ស្ថាប័នអ្នក។ អ្នកអាចដាក់កម្រិតការចូលប្រើដោយអនុវត្តវិធានការដូចជា AppLocker ច្បាប់ Windows Firewall ឬការគ្រប់គ្រង MDM ។
    • តាមដានឧបករណ៍គ្រប់គ្រងពីចម្ងាយដែលប្រើជាទូទៅ និងត្រួតពិនិត្យសម្រាប់ឧបករណ៍ភាគីទីបីដែលមិនប្រក្រតី ឬគ្មានការអនុញ្ញាត។ ឧទាហរណ៍ ប្រសិនបើ Quick Assist ត្រូវបានប្រើប្រាស់ ហើយក្រុម IT របស់អ្នកមិនពឹងផ្អែកលើវាសម្រាប់ជំនួយពីចម្ងាយទេ វាគួរតែបង្កការជូនដំណឹង។
  3. ការបណ្តុះបណ្តាលការយល់ដឹងអំពីសុវត្ថិភាព - វាអាចស្តាប់ទៅដូចជាបញ្ហាមួយ ប៉ុន្តែកំហុសរបស់មនុស្សគឺជាហេតុផលចម្បងមួយសម្រាប់ការវាយប្រហារតាមអ៊ីនធឺណិតប្រកបដោយជោគជ័យ។ ការបណ្តុះបណ្តាលការយល់ដឹងអំពីសុវត្ថិភាពអាចធ្វើឱ្យមានភាពខុសប្លែកគ្នាក្នុងរឿងនេះ ដោយការពារអ្នកពីការរំលោភបន្ទាប់ទៀត។
    • យើងសូមផ្តល់អនុសាសន៍ឱ្យធ្វើឱ្យវាផ្តោត និងពាក់ព័ន្ធទៅនឹងការគំរាមកំហែងដែលឃើញនៅក្នុងព្រៃ។ ឧទាហរណ៍ ករណីនៃការក្លែងបន្លំ IT តាមរយៈវេទិកាទំនាក់ទំនងដូចជា Microsoft Teams, Slack ឬសូម្បីតែការហៅទូរសព្ទបុរាណកំពុងកើនឡើង។ សូមប្រាកដថាបុគ្គលិករបស់អ្នកដឹងពីរបៀបដោះស្រាយវា។


សេចក្តីសន្និដ្ឋាន

  • VEILDrive រួមបញ្ចូលគ្នានូវភាពសាមញ្ញ និងភាពទំនើប។ វាគួរឱ្យចាប់អារម្មណ៍ក្នុងការធ្វើជាសាក្សីនៃការប្រើប្រាស់លក្ខណៈ C2 បុរាណស្របគ្នាជាមួយ C2 លើ OneDrive ក៏ដូចជាការប្រើប្រាស់ការតស៊ូផ្អែកលើកិច្ចការដែលបានកំណត់ពេលបុរាណរួមបញ្ចូលគ្នាជាមួយនឹងការប្រតិបត្តិមេរោគដែល EDR កំពូលមិនបានរកឃើញ។

  • លក្ខណៈដែលបានកំណត់ថាជាផ្នែកមួយនៃការស៊ើបអង្កេត និងការស្រាវជ្រាវការគំរាមកំហែងគឺគួរឱ្យចាប់អារម្មណ៍ ហើយពួកគេបានអនុញ្ញាតឱ្យយើងយល់កាន់តែច្បាស់អំពីរបៀបដែលភ្នាក់ងារគំរាមកំហែងនេះដំណើរការ សេវាកម្មដែលគេស្គាល់ថាវាបំពាន របៀបដែលវាបំពានពួកគេ និងសម្រាប់គោលបំណងអ្វី។

  • វិធីដែល OneDrive ត្រូវបានគេបំពានសម្រាប់ការទំនាក់ទំនង C2 នៅក្នុង VEILDrive មានលក្ខណៈប្លែកពីគេ។ ទោះជាយ៉ាងណាក៏ដោយ គំនិតទូទៅនៃការរំលោភបំពាន OneDrive សម្រាប់គោលបំណង C2 មានការកើនឡើងក្នុងរយៈពេលប៉ុន្មានខែចុងក្រោយនេះ ហើយវាគឺជាអ្វីដែលត្រូវចងចាំ។

  • ការចូលប្រើដំបូងតាមរយៈ spear-phishing នៅលើវេទិកាទំនាក់ទំនងដូចជា Microsoft Teams, Slack និងសេវាកម្មស្រដៀងគ្នាគឺជារឿងធម្មតាកាន់តែខ្លាំងឡើង។

  • យើង​ព្យាករ​ថា វា​នឹង​ក្លាយ​ជា​រឿង​ធម្មតា​កាន់​តែ​ច្រើន​តាម​រយៈ​ពេល​វេលា​កន្លង​ទៅ។ ដូច្នេះហើយ វិធានការអនាម័យ និងឥរិយាបថទាក់ទងនឹងទិដ្ឋភាពនេះ (ដូចបានរៀបរាប់នៅក្នុង សៀវភៅអនាម័យខាងលើ) គឺមានសារៈសំខាន់ណាស់។

  • ឧបករណ៍គ្រប់គ្រងពីចម្ងាយគឺមានប្រជាប្រិយភាពខ្លាំងរួចទៅហើយក្នុងចំណោមអ្នកគំរាមកំហែង។ វិធីសាស្រ្តផ្សេងគ្នាអាចត្រូវបានយកទៅកាត់បន្ថយសក្តានុពលសម្រាប់ការចូលប្រើដោយគ្មានការអនុញ្ញាតដោយប្រើឧបករណ៍បែបនេះ។ តាមទស្សនៈរបស់យើង វិធីសាស្រ្តដែលបានណែនាំនៅក្នុងតំបន់នេះគឺការដាក់ក្នុងបញ្ជីស (ការចុះបញ្ជីអនុញ្ញាត) រួមជាមួយនឹងការត្រួតពិនិត្យដ៏រឹងមាំ។

  • យើងរំពឹងថាយុទ្ធនាការកាន់តែច្រើននៃលក្ខណៈនេះនឹងលេចឡើង ដោយប្រើប្រាស់វិធីសាស្រ្ត និងលក្ខណៈស្រដៀងគ្នា។ ដូច្នេះ ការត្រួតពិនិត្យជាបន្ត និងការស្វែងរកការគំរាមកំហែងយ៉ាងសកម្មចំពោះប្រភេទនៃការគំរាមកំហែងនេះត្រូវបានណែនាំយ៉ាងខ្លាំង។


ដើម្បីបន្តធ្វើបច្ចុប្បន្នភាពលើការស្រាវជ្រាវ សកម្មភាព និងសំណួរដែលគំរាមកំហែង សូមតាមដានគណនី X/Twitter របស់ Team Axon ( @team__axon )។

L O A D I N G
. . . comments & more!

About Author

Hunters HackerNoon profile picture
Hunters@hunters
Hunters is a Human-Driven, AI-Powered 'Next-Gen' SIEM that revolutionizes the way SOCs operate.

ព្យួរស្លាក

អត្ថបទនេះត្រូវបានបង្ហាញនៅក្នុង...