paint-brush
Mamaha ny VEILDrive: Manararaotra ny serivisy Microsoft ho an'ny baiko sy fanaraha-maso ireo mpisehatra mandrahonany@hunters
15,373 HENOINA
15,373 HENOINA

Mamaha ny VEILDrive: Manararaotra ny serivisy Microsoft ho an'ny baiko sy fanaraha-maso ireo mpisehatra mandrahona

ny Hunters30m2024/11/11
Read on Terminal Reader

Lava loatra; Mamaky

- Ny ekipan'ny Hunters AXON dia nanamarika ary manara-maso hetsika fandrahonana mitohy, antsoina hoe "VEILDrive" - Ny fanentanana dia nofaritana tany am-boalohany ho ampahany amin'ny fiaraha-miasa amin'ny AXON mba hamahana ny hetsika ratsy hita ao amin'ny fotodrafitrasa iray ho an'ny mpanjifantsika. - Ao anatin'ny fanadihadiana, nofantarinay ireo singa fotodrafitrasa Microsoft isan-karazany amin'ireo fikambanana niharan-doza fanampiny izay nosimbaina sy nampiasain'ilay mpanafika. - Nampiasa serivisy sy fampiharana Microsoft SaaS isan-karazany ny mpanafika ho ampahany amin'ny fampielezan-kevitra, anisan'izany ny Microsoft Teams, SharePoint, Quick Assist, ary OneDrive - Ny mpanafika dia nampiasa fomba iray tokana mifototra amin'ny OneDrive Command & Control (C&C) ho ampahany amin'ny malware hita ao amin'ny foto-drafitr'ilay niharam-boina. - Miorina amin'ny fehin-kevitra avy amin'ny fanadihadiana nataonay, dia misy ny mety hivoahan'ity fanentanana ity avy any Rosia - Ny ekipa AXON dia nitatitra ny zava-bitany tamin'ny Microsoft mba hanampy amin'ny fanakatonana ny fotodrafitrasa an'ny mpilalao - Ny ekipa ihany koa dia nanantona ireo niharam-boina marobe fantatra nandritra ny fikarohanay
featured image - Mamaha ny VEILDrive: Manararaotra ny serivisy Microsoft ho an'ny baiko sy fanaraha-maso ireo mpisehatra mandrahona
Hunters HackerNoon profile picture
0-item
1-item
2-item

Avy amin'i Hunters Team Axon

TL; DR

  • Ny ekipan'ny Hunters AXON dia nanamarika ary manara-maso hetsika fandrahonana mitohy, antsoina hoe " VEILDrive "
  • Ny fanentanana dia nofaritana tany am-boalohany ho ampahany amin'ny fiaraha-miasa amin'ny AXON mba hamahana ny hetsika ratsy hita ao amin'ny fotodrafitrasa iray ho an'ny mpanjifantsika.
  • Ao anatin'ny fanadihadiana, nofantarinay ireo singa fotodrafitrasa Microsoft samihafa amin'ireo fikambanana niharan'ny herisetra hafa izay nosedraina sy nampiasain'ny mpanafika.
  • Nampiasa serivisy sy fampiharana Microsoft SaaS isan-karazany ny mpanafika ho ampahany amin'ny fampielezan-kevitra, anisan'izany ny Microsoft Teams, SharePoint, Quick Assist, ary OneDrive
  • Ny mpanafika dia nampiasa fomba iray tokana mifototra amin'ny OneDrive Command & Control (C&C) ho ampahany amin'ny malware hita ao amin'ny fotodrafitrasa misy ilay niharam-boina.
  • Araka ny fanatsoahan-kevitra avy amin'ny fanadihadiana nataonay, dia azo inoana fa avy any Rosia ity fanentanana ity
  • Ny ekipa AXON dia nitatitra ny valiny tamin'ny Microsoft mba hanampy amin'ny fanakatonana ny fotodrafitrasa an'ny mpilalao
  • Ny ekipa ihany koa dia nanantona ireo niharam-boina marobe fantatra nandritra ny fikarohanay


Fehinkevi-panadihadiana

Ny ekipan'ny Hunters AXON dia namoaka ary manara-maso mavitrika hetsika fandrahonana mitohy antsoina hoe "VEILDrive". Hita tamin'ny voalohany nandritra ny fanadihadiana momba ny asa ratsy tao amin'ny fotodrafitrasa mpanjifa, ny VEILDrive dia mampiasa ny SaaS suite an'ny Microsoft—indrindra ny Teams, SharePoint, Quick Assist, ary OneDrive—to Manatanteraka ny paikadiny amin'ny fomba miavaka, ny mpilalao fandrahonana dia mampiasa Command & mifototra amin'ny OneDrive. Ny fomba fanaraha-maso (C&C) tafiditra ao anatin'ny malware mahazatra izay apetraka amin'ny tontolo misy marimaritra iraisana dia manondro ny mety ho fiavian'ny Rosiana amin'ity fampielezan-kevitra ity, ary ny Team AXON dia efa nampitandrina an'i Microsoft sy ireo fikambanana misy fiantraikany amin'ny fanalefahana ny fanararaotana bebe kokoa.


Nanomboka tamin'ny Septambra 2024 ny fikarohanay taorian'ny setrin'ny fanafihana fotodrafitrasa manakiana iray any Etazonia. Ny teknikan'ny fanafihana an'i VEILDrive dia tsy mitovy amin'ny fihetsika fandrahonana mahazatra. Miantehitra mafy amin'ny fotodrafitrasa SaaS an'ny Microsoft izy ireo mba hizarana ny fampielezan-kevitry ny phishing lefona sy ny fitahirizana rindrambaiko manimba. Ity paikady miankina amin'ny SaaS ity dia manasarotra ny fisavana amin'ny fotoana tena izy ary mandingana ny fiarovana mahazatra.


Ny malware mifandray amin'ny VEILDrive dia rakitra .jar miorina amin'ny Java izay tsy misy fanakorontanana, ka mahatonga azy ho mora vakina sy voalamina tsara. Na dia eo aza ny fahatsoran'izy io, ny malware dia nandositra ny fisavana tamin'ny alàlan'ny fitaovana Endpoint Detection and Response (EDR) ambony indrindra sy ny motera fiarovana rehetra ao amin'ny VirusTotal. Manasongadina loza mitatao izany: na dia ny kaody tsy mibaribary sy mahitsy aza dia afaka miala amin'ny mekanika fitiliana maoderina, manolo-kevitra ny filàna mivelatra kokoa amin'ny fijerena indray ny paikady fitiliana amin'ny tontolo atahorana.


Ity tatitra ity dia manome fanazavana momba ny fomba fiasan'ny VEILDrive sy ny fetran'ny fomba fitadiavana amin'izao fotoana izao mba hampitaovana tsara kokoa ny vondrom-piarahamonina cybersecurity amin'ny fandrahonana mivoatra.


lafika

Tamin'ny Septambra 2024, ny ekipa AXON dia namaly ny zava-nitranga nikendry orinasam-pamokarana lehibe iray any Etazonia. Ity fanadihadiana ity dia nanambara fanentanana fandrahonana tsy manam-paharoa, "VEILDrive", izay nampiseho tetika, teknika ary fomba fiasa (TTP) tsy mahazatra izay nivaona be tamin'ireo hita matetika tamin'ny tranga mitovy.


Araka ny fikarohanay dia tombananay fa nanomboka tamin'ny fiandohan'ny volana aogositra 2024 ny fampielezan-kevitra VEILDri ary mbola mavitrika hatramin'ity tatitra ity. Ny fampiasana ny serivisy Microsoft SaaS—anisan'izany ny Teams, SharePoint, Quick Assist, ary OneDrive—dia nanararaotra ireo fotodrafitrasa azo itokisana nataon'ireo fikambanana niharan'ny lesoka teo aloha ilay mpanafika mba hizarana fanafihana phishing sy fitehirizana malware. Ity paikady mifototra amin'ny rahona ity dia nahafahan'ny mpisehatra fandrahonana tsy ho hitan'ny rafitra fanaraha-maso mahazatra.


Marihina fa ny VEILDrive dia nampiditra fomba vaovao Command & Control (C&C) mifototra amin'ny OneDrive napetraka ao amin'ny malware mifototra amin'ny Java napetraka amin'ny fitaovana mampandefitra. Ny malware mihitsy, rakitra .jar, dia mampiseho endri-javatra roa manaitra:


  • Fangaraharan'ny Kaody: Miaraka amin'ny tsy fisian'ny obfuscation sy kaody voarafitra tsara, ity malware ity dia manohitra ny fironana mahazatra amin'ny famolavolana mifantoka amin'ny fandosirana, ka mahatonga azy ho mora vakina sy mahitsy.
  • Fahombiazan'ny Stealth: Na dia eo aza ny fahatsorany, ity malware ity dia mbola tsy voamariky ny vahaolana farany ambony amin'ny Endpoint Detection and Response (EDR) napetraka ao amin'ny tontolon'ny niharam-boina sy ny motera fiarovana rehetra ao amin'ny VirusTotal (jereo ny sary 1 etsy ambany):

Sary 1: Pikantsarin'ny VirusTotal mampiseho ny malware Java miaraka amin'ny fahitana aotra; tsy hitan'ny motera VirusTotal rehetra, manasongadina ny fahaiza-misoroka.


Ireo toetra ireo dia manasongadina fa na dia tsy misy teknika fandosirana be pitsiny aza, ny malware voavolavola tsara sy tsy voavaha dia afaka mandositra ny fiarovana maoderina. Ity fanadihadiana ity dia manasongadina ny elanelana eo amin'ny paikadin'ny fitiliana amin'izao fotoana izao ary manantitrantitra ny filàna mailo amin'ny fomba fanafihana tsy dia mahazatra loatra.


Ny ekipa AXON dia nizara ny zava-bitany tamin'ny Microsoft sy ireo fikambanana voakasik'izany, manolotra faharanitan-tsaina azo atao mba hanalefahana ity fandrahonana mitohy ity.


Ny lalan'ny fanafihana VEILDrive

Tamin'ny voalohandohan'ny volana septambra 2024, iray amin'ireo mpanjifan'ny Hunters, antsoina eto ambany hoe "Org C", dia nirotsaka an-tsehatra tamin'ny Ekipa AXON ho fanohanana amin'ny fikarakarana tranga iray mavitrika.


Nisy asa voalahatra noforonina mampiahiahy tamin'ny fitaovan'ny mpiasan'ny Org C dia niteraka fanairana, ka nahatonga fanadihadiana bebe kokoa. Tamin'ny alàlan'ny fampifanarahana ny logs sy ny fifandraisana amin'ny mpampiasa voakasika, ny ekipa dia nanazava ny fomba fidirana voalohany.


Ity ambany ity ny Diagrama Fanafihana izay manome topimaso avo lenta momba ny fikorianan'ny fanafihana:


VIELdrive attack diagram


Toy izao manaraka izao ny filaharan'ny hetsika:

Dingana 1

Nampiasa ny Microsoft Teams ilay mpilalao ratsy fanahy mba handefa hafatra amin'ny mpiasa efatra voafantina ao amin'ny Org C, izay, ankoatry ny tsy ara-teknika mifototra amin'ny andraikiny, dia tsy nanana fifandraisana hafa. Nisandoka ho mpikambana ao amin'ny ekipan'ny IT ilay mpanafika ary nangataka ny hidirana amin'ny fitaovan'ny mpiasa tsirairay amin'ny alàlan'ny fitaovana fampiasa lavitra an'ny Quick Assist .


Raha tokony hampiasa kaonty vao noforonina ho an'ny fakana tahaka, ilay mpanafika dia nampiasa kaontin'ny mpampiasa simba avy amin'ny mety ho niharam-boina teo aloha, antsoina eto hoe "Org A."


M365 Audit Logs dia nampiasaina hamantarana ny Microsoft Teams spear-phishing.

  • Maromaro ny hetsika “ MessageSent ” sy “ ChatCreated ” no fantatra, samy avy amin'ny mpampiasa Org A izay efa nandefitra teo aloha, an'ilay mpilalao fandrahonana.

  • Raha mpiasa 4 no lasibatra, hetsika “ MemberAdded ” iray ihany no fantatra fa mikendry ny mpampiasa ny Org A .


Sary 2: Microsoft 365 audit logs entry avy amin'ny Org C - mampiseho ny hetsika "MemberAdded" izay nampidirina tao amin'ny chat One-On-One miaraka amin'ny niharam-boina Org C ny kaontin'ny mpampiasa Org A teo aloha.


  • Ity hetsika “ MemberAdded ” ity dia notarihin'ny kaontin'ny mpampiasa tokana an'ireo mpampiasa lasibatra 4 izay nanaiky ny fangatahana fidirana amin'ny mpisehatra fandrahonana, ka namorona resaka tokana. Midika izany fa io mpampiasa io irery no nifanerasera tamin'ny hafatra ho avy.
  • Ity fampahalalana ity dia nifanaraka tamin'ny angona avy amin'ny telemetry EDR an'ny fikambanana, izay nanamafy fa ny mpampiasa dia tsy nanaiky ny fangatahana sy nandray ny hafatra ihany fa nahafahan'ny mpanafika nahazo fidirana voalohany ihany koa noho ny fahombiazan'ny injeniera sosialy.


Sady nanitikitika no sady manan-danja ny fahafantarana etsy ambony, nanasongadina ny fitomboan'ny fihanaky ny phishing amin'ny alàlan'ny Microsoft Teams sy ny fitaovam-pifandraisana mitovy aminy. Ny fanavahana ny andrana phishing mahomby sy tsy nahomby tamin'ny fampiasana ny diarin'ny fanaraha-maso M365, miaraka amin'ny fifandraisana amin'ny diarin'ny EDR, dia mety ho manan-danja tokoa amin'ny fanadihadiana.


Ny hafatra Microsoft Teams voarain'ireo mpampiasa lasibatra amin'ny Org C dia natao tamin'ny alàlan'ny fampiasa " Access External " an'ny Microsoft Teams, izay mamela ny fifandraisana tokana amin'ny fikambanana ivelany amin'ny alàlan'ny default.

Dingana 2

Ny mpanafika dia nahomby tamin'ny fitaomana ilay niharam-boina tamin'ny Org C mba hanatanteraka ny fitaovana Quick Assist an'ny Microsoft ary nanome azy ireo ny kaody fidirana amin'ny alàlan'ny Microsoft Teams. Izany dia nitarika ho amin'ny fidirana an-tsehatra ataon'ilay mpilalao fandrahonana amin'ny solosain'ilay niharam-boina.

Dingana 3

Avy eo dia nizara rohy fampidinana mankany amin'ny SharePoint an'ny fikambanana mitokana ilay mpilalao fandrahonana (ilay niharam-boina dia an'ny mpanofa hafa noho ilay nampiasaina tamin'ny phishing tamin'ny alalan'ny chat Microsoft Teams, izay hantsoinay hoe 'Org B'). Ity rohy ity dia misy rakitra .zip voaaro amin'ny tenimiafina antsoina hoe Client_v8.16L.zip, izay nahitana rakitra isan-karazany, anisan'izany ny fitaovana RMM fanampiny.


Nalaina ilay rakitra, azo inoana fa tamin'ny fomba interactive, nataon'ilay mpanafika — efa manana fidirana lavitra — miasa eo ambanin'ny tontolon'ny explorer.exe, ahafahan'izy ireo manindry ny rohy sy misintona fitaovana raha ilaina.


Tsara ny manamarika fa nandritra ny fanadihadiana dia nampifandray ny diarin'ny fanaraha-maso M365 izahay, izay nanome fampahalalana marina momba ny URL miditra ao amin'ny hafatra Microsoft Teams, miaraka amin'ny telemetry EDR an'ny mpampiantrano ilay niharam-boina mba hahatakarana tanteraka ny TTP an'ny mpanafika.


Figure 3: Microsoft 365 audit logs avy amin'ny Org C mampiseho ny 'MessageSent' miaraka amin'ny URL ratsy nalefan'ny mpanafika tamin'ny alàlan'ny kaonty mpampiasa Org C. Ny URL dia mizotra mankany amin'ny SharePoint an'ny Org B, izay nampiantranoana ny rakitra malware mba alaina.

Dingana 4

Betsaka ny ezaka natao mba hanatanterahana asa ratsy amin'ny alàlan'ny fidirana lavitra. Ireo hetsika ireo dia tafiditra voalohany indrindra amin'ny ezaka fikirizana, toy ny famoronana asa voalahatra hanatanteraka imbetsaka ny iray amin'ireo rakitra alaina amin'ny mpanafika — fitaovana RMM antsoina hoe LiteManager ("ROMServer.exe").

schtasks /Create /TN "Perfomance monitoring" /SC MINUTE /TR C:\ProgramData\500000003\ROMServer.exe

Dingana 5

Aorian'ny hetsika etsy ambony, ny mpilalao dia misintona rakitra .zip hafa antsoina hoe Cliento.zip.


Toy ny teo aloha, ny rohy dia nozaraina tao amin'ny chat teo amin'ny mpampiasa niharam-boina sy ilay mpilalao sarimihetsika. Ity rakitra .zip ity dia nahitana ny malware .JAR lehibe ary koa ny Java Development Kit manontolo mba hanatanterahana ny malware .JAR.

Dingana 6

Ilay mpilalao fandrahonana dia namono ny malware .JAR tamin'ny fampiasana ireto manaraka ireto: C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar

Dingana 7

Hetsika tambajotra marobe sy famonoana baiko no fantatra teo ambanin'ny tontolon'ny rakitra .JAR maloto, ao anatin'izany:


  • Fangatahana DNS maromaro mivoaka / hetsika tambajotra mankany → safeshift390-my.sharepoint.com

  • Fangatahana DNS maromaro mivoaka / hetsika tambajotra mankany → graph.microsoft.com

  • Fangatahana DNS/Aktivitan'ny tambajotra maromaro mivoaka mankany → login.microsoftonline.com

  • Fanatanteraka baiko fanisana eo an-toerana:

    • Mahazoa fepetra momba ny rafitra - Systeminfo
    • Mahazoa fampahalalana momba ny fotoanan'ny milina - net time
    • Raiso ny UUID an'ny milina ( tadidio ity iray ity; hiresaka momba izany isika any aoriana ) - Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID
    • Fanisana ny fitaovana USB - {$_.interfacetype -eq \"USB\"}"


Ity pikantsary manaraka ity dia mampiseho ny ampahany lehibe amin'ny hazo fizotry ny hetsika mifandraika amin'ny asa ratsy:

Sary 4: hazo fizotry ny famintinana avy amin'ny Hunters' Next-Gen SIEM

Dingana 8

Ny mpanafika dia nanampy JAR binary ratsy ho toy ny runkey ao amin'ny rejisitra ho an'ny famonoana maharitra ny malware Java.

Fibaikoana:

Set-ItemProperty -Path \"HKCU:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" -Name \"current\" -Value \"C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar\" -ErrorAction Stop"


Haingana sy nahomby tokoa ny fitazonana sy ny famongorana ity tranga ity, ary araka ny porofo ara-tsiansa izay anananay, dia tsy nisy filazana fa nahavita niteraka fahavoazana lehibe ho an'ilay mpampiantrano sy fikambanana niharan-doza ilay mpanafika.


Ny hevi-dehibe iray avy amin'ny fikorianan'ny fanafihana voalaza etsy ambony dia ny nampiasan'ilay mpanafika tolotra Microsoft malaza sy mahazatra isan-karazany ho ampahany amin'ny fanafihany, na ho an'ny fanafenana an-tsisin'ny maso ary mety ho fanamorana azy ireo ihany koa.


Andao hamintina haingana ny serivisy Microsoft ampiasain'ilay mpilalao fandrahonana amin'ny fampiasana ity tabilao manaraka ity:

fanompoana

Mpanofa

Zava-kendreny

Microsoft Teams

Avy amin'ny Org A mankany amin'ny Org C

Spear Phishing Messages mba hitaomana ilay niharam-boina mba hisintona sy hanatanteraka ny fitaovana fitantanana lavitra

Fanampiana haingana

Org C

Mandefa code Quick Assist amin'ny alàlan'ny hafatra Microsoft Teams ilay mpilalao fandrahonana mba hahazoana ny fanaraha-maso lavitra voalohany

SharePoint

Avy amin'ny Org B mankany amin'ny Org C

"Ampiantranoana" ao amin'ny mpanofa SharePoint an'ny Org B ny rakitra ratsy. Ny rohy fampidinana dia zaraina amin'ny Org C amin'ny alàlan'ny hafatra SharePoint ary nosokafan'ny mpanafika mampiasa Quick Assist

Graph API

Avy amin'ny Org C mankany N/A

Nahitana famantarana ny fidirana ratsy amin'ny Microsoft Graph (graph[.]microsoft[.]com) natomboky ny cliento.jar.


Amin'ity dingana ity dia efa fantatray ireo serivisy / fampiharana Microsoft efatra voalaza etsy ambony. Na dia azonay aza ny tanjon'ireo telo voalohany, dia mbola tsy mazava ny hetsika natao ho an'ny Graph API. Nanana vinavina maromaro izahay momba ny mety ho tanjony, fa raha ny zava-nitranga dia tsy ampy ny fiheverana fotsiny, sa tsy izany?


Mba hanangonana fampahalalana bebe kokoa sy hahatakarana bebe kokoa ny .JAR malware 'Cliento.jar' ao amin'ny OneDrive/SharePoint - sady hanombantombana ny mety ho hetsika ataon'ny mpanafika sy hahazoana fahalalana momba ny fikasany - dia niroso tamin'ny famakafakana amin'ny antsipiriany momba ny malware izahay.


"ODC2" Java Malware - OneDrive ho Command & Control

Nampiasa Java Decompiler antsoina hoe "JDGUI" izahay mba hamongorana ny malware Client.jar (nantsoinay hoe "ODC2").


Vao tamin'ny fijerena avo lenta voalohany momba ny malware dia azonay ampifandraisina avy hatrany amin'ny famonoana PowerShell hitanay tamin'ny fanadihadiana ny zava-nitranga. Izany dia noho ny fampidirana ny fonosana Java " jPowerShell " - fonosana PowerShell ho an'ny Java.


Ho fanampin'izay, afaka mahita fonosana fanampiny toy ny "baiko", "fifandraisana", "mpamoaka", "na mifandray", sns. Izany dia nanome anay fahatakarana avo lenta momba ny rafitra malware.


Sary 5: pikantsary decompiler Java


  1. Nanomboka tamin'ny Main.class teo ambanin'ny fonosan'ny “launcher” izahay ary nahita andiana mari-pamantarana sarotra ampiasaina amin'ny malware. Somary nahagaga anay izany, saingy tena mahaliana.


Sary 6: Pikantsarin'ny Java Decompiler mampiseho ny votoatin'ny rakitra Cliente.jar miaraka amin'ny fifantohana amin'ny rakitra 'Main.class'


Tamin'ny famakafakana bebe kokoa momba ny malware (araka ny voalaza ao amin'ny famakafakana amin'ny antsipiriany etsy ambany), dia hitanay fa nampiasa ireo fahazoan-dàlana ireo ny malware mba hanaovana fanamarinana "amin'ny anaran'ny" amin'ny Entra ID. Mba hanaovana an'io fanamarinana io, dia nampiasaina tamin'ny ID mpanjifa sy ny tsiambaratelon'ny mpanjifa ny mari-pamantarana famelombelomana henjana mba hangataka famantarana fidirana.


Ny fanamarinana dia nahafahan'ny malware niditra tao amin'ny OneDrive an'ireo mpampiasa Entra ID manokana, amin'ny mpanofa izay lazaina fa fananan'ilay mpilalao, manararaotra an'io fidirana io ho an'ny tanjona C2.


  1. Ao amin'ny asa lehibe amin'ny Main.class dia afaka mahita ny teboka fidirana isika, izay ahitana kofehy maromaro. Ao anatin'izany ny fanatanterahana ny asa "odThread1" sy "mainThread1".


Figure 7: Java code snippet mampiseho ny fomba lehibe ao amin'ny kilasy Java decompiled, miaraka amin'ny kofehy maromaro (odThread1, odThread2, mainThread1, mainThread2) fanombohana zavatra Controller


Ny "odThread1" dia ahitana ny fanatanterahana ny fiasan'ny Controller "odRun" izay mahazo ny mari-pamantarana mari-pandrefesana voalohany (Refresh Token, sns.) ho an'ny fanamarinana.


  • Mampiasa ny adiresy IP "40.90.196.221" ho an'ny fananganana fifandraisana "odRun"

  • Ny adiresy IP "40.90.196.228" ho an'ny "Run" dia manomboka ny socket HTTPS mankany amin'ny C2 an'ny mpanafika. Ity IP ity dia IP an'i Azure ihany koa, ary mety ho milina virtoaly izy io. Ity fantsona C2 ity, araka ny antsipiriany etsy ambany, dia "klasika" kokoa ary mitarika amin'ny fanatanterahana ny baiko PowerShell

  • Mba hahazoana fampahalalana bebe kokoa momba ireo adiresy IP ireo, dia nanamarina ireo loharano fantatra toy ny ipinfo.io sy ny Service Tags ny adiresy IP Azure navoakan'ny Microsoft, araka ny aseho amin'ny pikantsary etsy ambany:



Sary 8: Ny fitadiavana IP eo ankavanana dia manome antsipiriany momba ny IP '40.90.196.228', mifandray amin'ny 'microsoft.com' eo ambanin'ny karazana 'hosting', tsy misy saina VPN, proxy, tor, na relay alefa.


  • Tsara ihany koa ny manamarika fa ny adiresy IP misy kaody sarotra fanampiny hita ao amin'ity malware ity (38.180.136.85) dia toa an'ny mpanome tolotra hafa ary mifandray amin'ny serivisy fampiantranoana. Mifototra amin'ny hevitsika, ity adiresy IP ity dia tsy nampiasain'ny malware. Heverinay fa nisy izany noho ny antony lova (fotodrafitrasa C2 teo aloha).


HTTPS Socket C2

  1. Amin'ny alàlan'ny fandavahana lalindalina kokoa amin'ny "mainThread1()" izay manatanteraka ny fiasa "ctrl.run()", dia hitantsika fa ny run() function dia manandrana mamorona fifandraisana ary manamarina matetika raha velona ny fifandraisana. Avy eo dia manandrana "parseCommand", manapaka ny ampahany tsy misy dikany ao aminy.


Figure 9: Java code snippet from the Controller class in a decompiled Java programme


  1. Ity fiasa "mihazakazaka" ity dia mampiasa ny "connect()" hanamboarana / hamerenana fifandraisana. Mamorona socket amin'ny adiresy IP lavitra izay hitantsika etsy ambony - 40.90.196.228.

  2. Ity fiasa "run" ity dia mampiasa ny "CommandManager", izay ahitana fikarakarana samihafa ho an'ireo karazana baiko/fahaizana omen'ity malware ity, ao anatin'izany ny famindrana rakitra avy amin'ny mpanjifa mankany amin'ny mpizara ary avy amin'ny mpizara mankany amin'ny mpanjifa, famatrarana rakitra, pikantsary, fanakatonana ny fifandraisana amin'ny tambajotra, ary, mazava ho azy, ny famonoana baiko.


Manamarina raha foana ny baiko voaray na raha misy baiko tena voaray avy amin'ny mpizara C2.


Sary 10: Pikantsarin'ny snippet kaody Java avy amin'ny kilasy CommandManager amin'ny programa Java decompiled


  1. Raha misy baiko hita, dia manara-maso sy manatanteraka izany. Ny famonoana dia eo ambanin'ny tontolon'ny PowerShell.


    Ny fanatanterahana ny baiko miditra ho baiko PowerShell dia atao amin'ny alàlan'ny jPowerShell wrapper izay voalazanay teo aloha.

Sary 11: snippet kaody Java avy amin'ny kilasin'ny CommandManager amin'ny programa Java decompiled


OneDrive Command & Control

Alohan'ny handinihana ny fototry ny fampiasa OneDrive C2, zava-dehibe ny manamarika fa ny ampahany manan-danja amin'ny kaody malware dia miankina betsaka amin'ny 'karazana' rakitra OneDrive telo: UUID, cf_UUID, ary rf_UUID. Araka ny hita tamin'ny fanadihadianay, ny baiko Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID dia novonoina, nanambara ny UUID an'ny fitaovana fitaovana. Ity famantarana tsy manam-paharoa ity dia ampiasaina hanavahana ny niharam-boina tsirairay ao amin'ny fanentanana VEILDrive.


Ny karazana rakitra tsirairay dia manana anjara toerana miavaka amin'ny fiasan'ny malware. Ity pikantsary manaraka ity dia manome ohatra amin'ireo rakitra ireo sy ny anjara asany voalohany amin'ny famonoana malware.


Sary 12: Pikantsary mampiseho rakitra telo ao anaty lahatahiry iray, samy manana UUID tokana


Andao hiditra ao anatin'ny fikorianan'ny fampiasa OneDrive C2 sy ny fomba ampiasana ireo rakitra UUID ireo amin'ny fampiharana:


  1. Ho fanampin'ny fahaiza-manao Remote Execution mahazatra amin'ny PowerShell, ny fiasa "odRun" dia tompon'andraikitra amin'ny kofehy hafa mifototra amin'ny "OneDrive" ho fantsona fifandraisana. Ity no ampahany miavaka amin'ity malware ity.


    Ny "odRun" araka ny hitantsika, dia azo antsoina hoe "OneDrive" (OneDriveRun), ary ahitana ny famoronana fifandraisana OneDrive amin'ny fampiasana ny "Odconnect" ho dingana voalohany:


Sary 13: snippet kaody Java mampiseho ny fomba odRun, izay maka masontsivana ao anatin'izany ny tenantId, clientId, clientSecret, grantType, accessToken, ary refreshToken


  1. Araka ny hitanao, ny tady "machineUUID" voalohany dia napetraka ho tady foana. Arahin'ny fanatanterahana ny asa "getMachineUUID()", izany hoe, araka ny anarany, dia mahazo ny Machine UUID an'ny fitaovana niharan-doza:


Sary 14: snippet kaody Java mampiseho ny fomba getMachineUUID, izay maka ny UUID an'ny milina. Ny fomba dia manatanteraka baiko PowerShell, 'Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID', ary omeo ny valiny amin'ny variable machineUUID alohan'ny hamerenana azy


  1. Hitantsika avy eo fa ny fifandraisana OneDrive dia atao amin'ny alàlan'ny fiasa "OdConnect" - ny fifandraisana dia atao amin'ny "miditra [.]microsoftonline[.]com" ho an'ny famoronana/fanavaozana andiana marika fidirana vaovao sy marika fanavaozana. .


Sary 15: Java code snippet mampiseho ny fomba fanavaozanaTokens ao amin'ny kilasy Odconnect


  1. Ny asa "WriteFileToOneDrive" dia ny manaraka izay antsoina, raha mbola tsy misy rakitra antsoina hoe UUID amin'izao fotoana izao ny milina niharam-boina ao amin'ny solosaina kendrena, mifototra amin'ny fisavana ataon'ny "checkFile".
  • "checkFile": Ity fiasa ity dia manamarina raha misy rakitra antsoina == machineUUID ao amin'ny lahatahiry an-tranon'ny mpampiasa OneDrive ankehitriny


Figure 16: Java code snippet mampiseho ny fomba checkFile ao amin'ny kilasy Odconnect. Ity fomba ity dia manamarina ny fisian'ny rakitra iray ao amin'ny OneDrive amin'ny alàlan'ny fampiasana Microsoft Graph API mba hitanisana ireo rakitra ao amin'ny lahatahiry faka.


  1. Raha tsy misy rakitra toy izany, ny "writeFileToOneDrive()" dia miditra amin'ny lalao, ary mamorona rakitra antsoina hoe UUID Computer lasibatra ankehitriny tsy misy prefix.


Figure 17: Java code snippet mampiseho ny fomba writeFileToOneDrive ao amin'ny kilasy Odconnect. Ity fomba ity dia mampakatra rakitra amin'ny OneDrive amin'ny fandefasana fangatahana PUT amin'ny Microsoft Graph API


  1. Ny ampahany manaraka amin'ny "odRun" dia ny fiasa "getFiles()" izay mahazo ny votoatin'ny UUID.


Ny rakitra OneDrive izay nomen'ny machineUUID an'ny fitaovana (tsy misy prefix).

  • Raha tsy foana ny votoatin'ny rakitra dia manamarina raha manomboka amin'ny teny hoe "alefaso" izany:
    • Manao normalization ny votoaty izy io, manomana azy amin'ny fisavana manaraka - amin'ny fanesorana ny tady "alefaso" ary manolo ny "\"" amin'ny "" (tsy misy na inona na inona) mitahiry izany amin'ny fari-pitsipika antsoina hoe " filenameForDownload "
    • FilenameForDownload dia alefa amin'ny getFileDownloadUrl function. Izany dia mahazo ny rakitra safidin'ny mpanafika. Ny mpanafika dia hanondro ny anaran'ny rakitra aorian'ny teny hoe "alefaso" ao amin'ny rakitra UUID ary tehirizo any amin'ny làlan-kaleha voatondro amin'ny milina niharam-boina izay "user.home"\downloads (ilay fampirimana fampidinana).
    • Aorian'izany dia antsoina ny fiasa " downloadFile ", fampidinana ny rakitra lavitra mankany amin'ny fitaovana lasibatra eo an-toerana, mifototra amin'ny famoahana asa getFileDownloadUrl .
    • Ny mpanafika dia mahazo famantarana momba ny famonoana ny rakitra amin'ny alàlan'ny " writeFileToOneDrive "izay vita avy hatrany ao anatin'ny "odRun" hanoratana ity manaraka ity "rf_" + "mandefa rakitra" + filenameForDownload + "vita" → hampahafantatra ny mpanafika Taorian'izany, dia nisy famonoana hafa ny "writeFileToOneDrive", izay misy iray hafa. rakitra, antsoina hoe "cf_" + machineUUID dia soratana amin'ny OneDrive, tsy misy atiny ao anatiny.
  • Raha tsy foana ny votoatin'ny rakitra fa tsy manomboka amin'ny "alefaso":
    • Ny votoatin'ny rakitra cf_MachineUUID dia hotanterahina.

    • Arahina indray amin'ny fanoratana rakitra amin'ny OneDrive, amin'ny fampiasana " writeFileToOneDrive ", voalohany "rf_" + machineUUID, miaraka amin'ny votoatin'ny valin'ny famonoana.

    • Ary ny fampiasana hafa ny “ writeFileToOneDrive ”, hanoratana sy hanesorana ny rakitra “cf_”, amin'ny ankapobeny dia manakana ny fanatanterahana ny baiko iray hafa (satria mandeha amin'ny loop ny malware).


Raha fintinina vetivety, ity malware ity dia toa manana fantsona C2 roa samy hafa azony ampiasaina:


  • HTTPS Socket C2 : fomba fiasa mahazatra kokoa, mandray baiko avy amin'ny Azure VM lavitra ary manatanteraka azy ireo eo ambanin'ny tontolon'ny PowerShell.

  • C2 mifototra amin'ny OneDrive : miavaka kokoa ity, ary somary saro-takarina sy mamorona ny fomba fiasa. Tafiditra ao anatin'izany ny rakitra telo samihafa, izay ahitana ny UUID an'ny fitaovana niharan-doza, ny sasany misy prefix (rf_ sy cf_). Mba hanamora ny fandefasana baiko sy fandraisana azy ireo amin'ny alàlan'ny Microsoft Graph ilay mpilalao mandrahona.


    Fanamarihana : Zava-dehibe ny milaza fa ity malware ity dia manana fahaiza-manao fanampiny ankoatry ny fanatanterahana baiko mahazatra, anisan'izany ny famindrana rakitra. Na izany aza, ny fampahalalana amin'ny antsipiriany etsy ambony dia mifantoka amin'ny lafiny fanatanterahana baiko ihany.


Microsoft Services/Apps ho toy ny fotodrafitrasa mpanafika

Amin'izao fotoana izao, mazava ho azy fa io fanafihana io dia nampifangaro tamim-pahakingana ny teknika tsotra miaraka amin'ny tetika be pitsiny sy miavaka. Ny endri-javatra iray nisongadina tamin'ny fanadihadianay voalohany dia ny fampiasana betsaka ny fotodrafitrasa sy serivisy Microsoft natambatra nandritra ny fampielezan-kevitra.

Taorian'ny famakafakana ny malware sy ny fampifanarahana ny vaovao vaovao amin'ny fanadihadianay dia nahazo fahatakarana mazava kokoa momba ny fampiasan'ny mpanafika ny serivisy isan-karazany sy ny tanjony. Hitanay fa ny fampiasana ny serivisy sy ny fotodrafitrasa Microsoft dia nivelatra kokoa noho ny tamin'ny voalohany.


Jereo ny tabilao etsy ambany ho an'ny famintinana fohy:

fanompoana

mpanofa

Zava-kendreny

Microsoft Teams

Avy amin'ny Org A mankany amin'ny Org C

Spear Phishing Messages mba hitaomana ilay niharam-boina mba hisintona sy hanatanteraka fitaovana fitantanana lavitra

Fanampiana haingana

Org C

Mandefa code Quick Assist amin'ny alàlan'ny hafatra Microsoft Teams ilay mpilalao fandrahonana mba hahazoana ny fanaraha-maso lavitra voalohany

SharePoint

Avy amin'ny Org B mankany amin'ny Org C

"Ampiantranoana" ao amin'ny mpanofa SharePoint an'ny Org B ny rakitra maloto. Ny rohy sintonina dia zaraina amin'ny Org C amin'ny alàlan'ny hafatra SharePoint ary nosokafan'ny mpanafika mampiasa Quick Assist

Azure VM

Fotodrafitrasa mpanafika

Ny malware dia nifandray tamin'ny Azure Virtual Machine an'ny mpilalao fandrahonana ho an'ny tanjona HTTPS Socket C2

OneDrive (Graph API)

Eo anelanelan'ny mpampiantrano OneDrive & Org C an'ny Attacker

Nampiasa OneDrive ho fantsona C2 fanampiny ilay mpilalao fandrahonana, mba hahazoana fahaiza-manao toy ny fanatanterahana baiko lavitra, fakana pikantsary, fampidinana/mampakatra rakitra, sns. mikendry ny mpampiantrano Org C.

Azure AD App Registration

Eo anelanelan'ny mpampiantrano OneDrive & Org C an'ny Attacker(s

Ny fampiharana dia nampiasaina ho fanamarinana amin'ny anaran'ny kaonty mpampiasa Azure AD izay an'ny mpilalao, ary miditra amin'ny lahatahiry an-trano OneDrive.


Indicators of Compromise (IOCS)

  • Ireo mpanofa Entra ID fanta-daza an'ilay mpanafika:
    • C5f077f6-5f7e-41a3-8354-8e31d50ee4d
    • 893e5862-3e08-434b-9067-3289bec85f7d
  • Fampiharana fanta-daza nosoratan'ny ID mpanjifa mpanafika:
    • B686e964-b479-4ff5-bef6-e360321a9b65
    • 2c73cab1-a8ee-4073-96fd-38245d976882
  • Mpanofa ID Entra ampiasain'ny mpanafika (Tadiavo ny fangatahana DNS mivoaka amin'ireo sehatra ireo):
    • SafeShift390[.]onmicrosoft[.]com
    • GreenGuard036[.]onmicrosoft[.]com
  • File IOCs (SHA256) hita tao anatin'ny fanadihadiana:
    • ROMServer.exe a515634efa79685970e0930332233aee74ec95aed94271e674445712549dd254
    • HookDrv.dll 1040aede16d944be8831518c68edb14ccbf255feae3ea200c9401186f62d2cc4
    • ROMFUSClient.exe 7f61ff9dc6bea9dee11edfbc641550015270b2e8230b6196e3e9e354ff39da0e
    • AledensoftIpcServer.dll d6af24a340fe1a0c6265399bfb2823ac01782e17fc0f966554e01b6a1110473f
    • ROMwln.dll 7f33398b98e225f56cd287060beff6773abb92404afc21436b0a20124919fe05
  • Adiresy IP:
    • 40.90.196[.]221
    • 40.90.196[.]228
    • 38.180.136[.]85
    • 213.87.86[.]192



Fanontaniana fihazana fandrahonana

Ho fanampin'ireo IOC manokana voalaza etsy ambony, dia nanamboatra fanontaniana fihazana fandrahonana maro izahay izay azo ampiasaina hamantarana ny fanafihana avy amin'ny mpilalao iray ihany, natao tamin'ny fampielezan-kevitra mitovy, na mizara toetra mitovy (TTP)

Fanamarihana: Ny fe-potoana hihazana ho an'ny VEILDrive dia manomboka amin'ny Jolay 2024.


FANONTANIANA HUNTING 1 : Javaw Spawning Powershell miaraka amin'ny saina manokana - Fitondran-tena tsy mahazatra

  • Lojika fanotaniana: Nandritra ny famakafakana nataonay dia fantatray fa nampiasa Powershell ny Remote Access Tool (RAT) an'ny mpanafika mba haka ny UUID an'ilay milina ho ampahany amin'ny dingan'ny famonoana azy. Ity fanontaniana ity dia mahita tranga tsy mahazatra amin'ny Powershell navoakan'ny javaw.exe miaraka amin'ny sainam-baiko manokana ampiasain'ny mpilalao fandrahonana.

  • Fanontaniana:

     SELECT EVENT_TIME, AGENT_ID, PARENT_PROCESS_NAME, PARENT_PROCESS_COMMANDLINE, INITIATING_PROCESS_NAME, INITIATING_PROCESS_COMMANDLINE, TARGET_PROCESS_NAME, TARGET_PROCESS_COMMANDLINE, TARGET_PROCESS_OS_PID FROM INVESTIGATION.EDR_PROCESS_CREATION_EVENTS WHERE 1=1 AND PARENT_PROCESS_NAME ILIKE '%javaw%' AND INITIATING_PROCESS_NAME ILIKE '%cmd%' AND TARGET_PROCESS_NAME ILIKE '%powershell%' AND TARGET_PROCESS_COMMANDLINE ILIKE 'powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile %' AND EVENT_TIME > current_timestamp - interval '60d'


FANONTANIANA HUNTING 2: Ny faharetan'ny fitaovana ROM amin'ny alàlan'ny asa voalahatra

  • Lojika fanontaniana: Ity fanontaniana ity dia mahita tranganà asa voalahatra misoratra anarana miaraka amin'ny fanatanterahana fitaovana ROM ampiasain'ny mpisehatra fandrahonana ho amin'ny fikirizana.

  • Fanontaniana:

     SELECT EVENT_TIME AS EVENT_TIME, AID AS AGENT_ID, CID AS COMPUTER_ID, EVENT_SIMPLE_NAME AS EVENT_NAME, RAW:TaskName AS TASK_NAME, RAW:TaskExecCommand AS TASK_EXEC_COMMAND, RAW:TaskAuthor AS TASK_AUTHOR, RAW:UserName AS USER_NAME --- Adjust according to your EDR of choice FROM RAW.CROWDSTRIKE_RAW_EVENTS WHERE EVENT_SIMPLE_NAME = 'ScheduledTaskRegistered' AND TASK_EXEC_COMMAND ILIKE '%romserver%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d'


FANONTANIANA HUNTING 3 : Mpampiasa tsy fikambanana mizara rohy mankany amin'ny sehatra Sharepoint amin'ny antoko fahatelo amin'ny alàlan'ny Microsoft Teams

  • Lojika fanontaniana: Ity fanontaniana ity dia mahita tranga misy rohy SharePoint nozaraina amin'ny resaka Teams, fa ny sehatra misy ny rohy SharePoint dia tsy an'ny mpandray anjara amin'ny chat. Izany dia mety manondro ny mety hisian'ny andrana phishing na fanilihana data, izay misy sehatra ivelany ampiasaina hizarana rakitra na fampahalalana amin'ireo mpampiasa tsy miahiahy ao anatin'ny fikambanana.
  • Fanontaniana:
 SET YOUR_ORGANIZATION_NAME = 'hunters'; SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, OPERATION AS EVENT_TYPE, SPLIT_PART(LOWER(SPLIT_PART(USER_ID, '@', 2)), '.', 1) AS SENDER_ORG_DOMAIN, RECORD_SPECIFIC_DETAILS:message_ur_ls AS MESSAGE_URLS, WORKLOAD AS WORKLOAD, USER_ID AS USER_ID, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS FROM RAW.O365_AUDIT_LOGS WHERE NOT USER_ID ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND (NOT (MESSAGE_URLS ILIKE '%' || SENDER_ORG_DOMAIN || '%') AND MESSAGE_URLS ILIKE '%sharepoint%') AND NOT MESSAGE_URLS ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d'


FANONTANIANA HUNTING 4 : Ekipa Microsoft - Fikarohana phishing - DM marobe avy amin'ny sehatra tsy mahazatra

  • Lojika fanontaniana: Ity fanontaniana manaraka ity dia mahita hafatra nalefan'ireo mpampiasa ivelany avy amin'ny sehatra tsy mahazatra amin'ny chat tokana. Ny fanontaniana dia manivana ireo sehatra be mpampiasa mifototra amin'ny hetsika ara-tantara ary mamaritra ny mpikambana ivelany ampiana amin'ny chat izay mety manao fanafihana phishing.

  • Fanontaniana:

     SET YOUR_DOMAIN_NAME = 'hunters'; --- GET EXTERNAL TEAMS AND ONEDRIVE USERS OF THE LAST 3 MONTHS - TO CLEAN EXTENSIVELY USED DOMAINS WITH COMMONLY_USED_DOMAINS AS ( SELECT LOWER(SPLIT_PART(USER_ID , '@', 2)) AS DOMAIN_COMMONLY_USED, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE WORKLOAD IN ('MicrosoftTeams', 'OneDrive') AND EVENT_TIME > CURRENT_TIMESTAMP - interval '90d' AND USER_ID ILIKE '%@%' GROUP BY DOMAIN_COMMONLY_USED HAVING COUNTER > 20 ), ---- Get List of External Domains that recently communicated with our organization using Microsoft Teams LATEST_EXTERNAL_DOMAINS AS ( SELECT USER_ID AS LATEST_EXT_USERS, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, ARRAY_AGG(DISTINCT RECORD_SPECIFIC_DETAILS:communication_type) AS COMMUNICATION_TYPE, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE EVENT_TIME > CURRENT_TIMESTAMP - interval '50d' AND NOT USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND NOT USER_ID IN ('app@sharepoint') AND USER_ID ILIKE '%@%' -- CLEAN-UP OF EXTENSIVELY USED DOMAINS AND USER_DOMAIN NOT IN (SELECT DISTINCT DOMAIN_COMMONLY_USED FROM COMMONLY_USED_DOMAINS) AND OPERATION IN ('MemberAdded', 'ChatCreated') AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' GROUP BY USER_ID HAVING COUNT(*) > 5 ) SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, WORKLOAD AS WORKLOAD, OPERATION AS OPERATION, USER_ID AS USER_ID, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME_0, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN_0, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS_0, RECORD_SPECIFIC_DETAILS:members[1].DisplayName AS MEMBER_DISPLAY_NAME_2, RECORD_SPECIFIC_DETAILS:members[1].UPN AS MEMBER_UPN_2, RECORD_SPECIFIC_DETAILS:members[1] AS MEMBERS_2, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS, RAW:ClientIP AS CLIENT_IP FROM RAW.O365_AUDIT_LOGS WHERE 1=1 AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' AND ( RECORD_SPECIFIC_DETAILS:members[0].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) OR RECORD_SPECIFIC_DETAILS:members[1].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) ) AND USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND OPERATION = 'MemberAdded' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '50d';
  • Lojika fanontaniana lalina: Satria somary saro-takarina ity fanontaniana ity, ity misy fanazavana momba ny lojika. Voalohany, mampiasa ny endri-javatra "CTE" an'ny Snowflake izahay mba hananganana fomba fijery roa:

    1. COMMONLY_USED_DOMAINS:
      • Esorinay avy amin'ny ID mpampiasa ny anaran'ny sehatra amin'ny alalan'ny fizarana ny tady aorian'ny '@'.
      • Isao ny hetsika rehetra novokarin'ny sehatra tsirairay nandritra ny 90 andro lasa
      • Tehirizo ireo sehatra misy hetsika mihoatra ny 20 ary hevero fa mahazatra. Azonao atao ny manitsy izany araka ny filanao.
    2. LATEST_EXTERNAL_DOMAINS:
      • Sivanina amin'ny hetsika rehetra tao anatin'ny 50 andro farany ny sehatra anatiny sy ny sehatra fampiasa matetika hita tamin'ny fijery teo aloha
      • Anontanio ny sehatra rehetra misy hetsika mihoatra ny 5 misy fandefasana hafatra mivantana sy fanampim-pikambanana amin'ny Ekipa.

    Farany, maka vaovao amin'ny antsipiriany momba ny mpampiasa sy ny sehatra mifandraika amin'izy ireo izahay amin'ny alàlan'ny fangatahana ny valiny voasivana avy amin'ny LATEST_EXTERNAL_DOMAINS.


Nuggets momba ny fahadiovana

Niresaka momba ny fihazana sy ny fanadihadiana mifandraika amin'ny teknika fanafihana maro ampiasain'ilay mpilalao sarimihetsika izahay. Ny sasany amin'ireo fomba sy teknika ratsy ireo dia fantatra ihany koa fa ampiasaina amin'ny fanentanana samihafa.

Ny fiarovana ny fikambananao amin'ireo fandrahonana ireo dia mety hampihena be ny mety hisian'ny fanafihana mahomby mikendry ny faritra samihafa amin'ny fotodrafitrasa fandaminanao.

Ireto misy Nuggets hygiene vitsivitsy azo ampiasaina hanatsarana ny fihetsikao fiarovana:


  1. Mba hampihenana ny mety hisian'ny fanafihana phishing mahomby amin'ny Microsoft Teams, ireto misy dingana vitsivitsy azonao atao:
    • Amin'ny alàlan'ny default, ny Microsoft Teams dia mamela ny "Fidirana ivelany", izay mamela ny fifampiresahana amin'ny fifandraisana ivelany. Raha toa ka tsy ilaina amin'ny fikambananao izany, dia diniho ny hanafoana ity safidy ity.
    • Raha ilaina ny fifandraisana ivelany dia ferana amin'ny sehatra azo itokisana ihany.
    • Fomba iray hafa hifandraisana amin'ny antoko ivelany ao amin'ny Microsoft Teams dia ny fampidirana azy ireo ho vahiny na mpikambana. Manoro hevitra mafy izahay ny hamerana an'io endri-javatra io, ka ny mpampiasa voafantina sy manana tombontsoa ihany no avela hitantana azy.
  2. Ny fiakaran'ny fanafihana an-tserasera amin'ny fampiasana fitaovam-pitantanana lavitra dia mitaky fanavahana mazava eo amin'ireo fitaovana ampiasaina ara-dalàna sy ireo trandrahin'ny mpisehatra fandrahonana. Ireto misy soso-kevitra vitsivitsy:
    • Fero ny fitaovana fitantanana lavitra ho an'ny fampiharana manokana sy ankatoavina ilaina amin'ny tanjona ara-barotra. Quick Assist dia mora alaina avy amin'ny Microsoft Store; eritrereto ny fanakanana ny fampiasana azy raha tsy ao amin'ny lisitra fotsyn'ny fikambananao izany. Azonao atao ny mametra ny fidirana amin'ny alàlan'ny fampiharana fepetra toy ny AppLocker, fitsipika Windows Firewall, na fitantanana MDM.
    • Araho ireo fitaovana fitantanana lavitra fampiasa matetika ary manara-maso izay fitaovana tsy mahazatra na tsy nahazoana alalana. Ohatra, raha ampiasaina ny Quick Assist ary tsy miantehitra amin'izany ny ekipanao IT amin'ny fanohanana lavitra, dia tokony hiteraka fanairana izany.
  3. Fampiofanana momba ny fiarovana - Mety ho toy ny cliche izany, saingy ny fahadisoana ataon'ny olombelona dia iray amin'ireo antony lehibe indrindra amin'ny fanafihana an-tserasera mahomby. Ny fampiofanana momba ny fiarovana dia afaka mitondra fiovana amin'io lafiny io, miaro anao amin'ny fanitsakitsahana manaraka.
    • Manoro hevitra izahay mba hifantoka sy hifanaraka amin'ny fandrahonana hita any anaty ala. Ohatra, mitombo ny trangan'ny fisandohana IT amin'ny alàlan'ny sehatra fifandraisana toa ny Microsoft Teams, Slack, na ny antso an-telefaona mahazatra. Ataovy azo antoka fa fantatry ny mpiasanao ny fomba hiatrehana izany.


Famaranana

  • VEILDrive dia manambatra ny fahatsorana sy ny haingo. Mahaliana ny nanatri-maso ny fampiasana ireo toetra C2 mahazatra mifanaraka amin'ny C2 amin'ny OneDrive, ary koa ny fampiasana fikirizana mifototra amin'ny asa voalahatra mahazatra miaraka amin'ny famonoana malware izay tsy hitan'ny EDR ambony indrindra.

  • Mahaliana ireo toetra voatondro ho anisan'ny fanadihadiana sy fikarohana momba ny fandrahonana, ary nahafahan'izy ireo nahatakatra bebe kokoa ny fomba fiasan'ity mpisehatra fandrahonana ity, izay tolotra fantatra amin'ny fanararaotana azy, ny fomba fanararaotana azy ireo, ary ny antony inona.

  • Ny fomba nanararaotana ny OneDrive ho an'ny fifandraisana C2 ao amin'ny VEILDrive dia nanana toetra miavaka. Na izany aza, ny hevitra ankapobeny momba ny fanararaotana OneDrive ho an'ny tanjona C2 dia nitombo tato anatin'ny volana vitsivitsy, ary zavatra tokony hotadidina izany.

  • Ny fidirana voalohany amin'ny alàlan'ny lefona-phishing amin'ny sehatra fifandraisana toa ny Microsoft Teams, Slack, ary ny serivisy mitovy dia miha-mitombo.

  • Maminavina izahay fa ho lasa mahazatra kokoa izany rehefa mandeha ny fotoana. Noho izany, ny fepetra momba ny fahadiovana sy ny fihetsika mifandraika amin'io lafiny io (araka ny voalaza ao amin'ny Nuggets Hygiene etsy ambony) dia zava-dehibe.

  • Efa malaza be amin'ireo mpisehatra fandrahonana ny fitaovana Fitantanana lavitra. Fomba samihafa no azo atao mba hampihenana ny mety hisian'ny fidirana tsy nahazoana alalana amin'ny fampiasana fitaovana toy izany. Raha ny fomba fijerinay, ny fomba fiasa aroso amin'ity sehatra ity dia ny fanaovana lisitra fotsy (fanomezana alalana) miaraka amin'ny fanaraha-maso matanjaka.

  • Manantena izahay fa hipoitra bebe kokoa ny fanentanana tahaka izany, mampiasa fomba sy toetra mitovy. Noho izany, ny fanaraha-maso tsy tapaka sy ny fihazana fandrahonana mavitrika amin'ity karazana fandrahonana ity dia aroso mafy.


Raha te havaozina hatrany amin'ny fikarohana, hetsika ary fanontaniana momba ny fandrahonana, araho ny kaonty X/Twitter an'ny Team Axon ( @team__axon ).

L O A D I N G
. . . comments & more!

About Author

Hunters HackerNoon profile picture
Hunters@hunters
Hunters is a Human-Driven, AI-Powered 'Next-Gen' SIEM that revolutionizes the way SOCs operate.

HANG TAGS

ITY ARTICLE ITY NO NARESAKA TAMIN'NY...