Jumlah cara yang digunakan kelompok peretas untuk menyerang perusahaan tampaknya tidak ada habisnya, tetapi kenyataannya tidak. Hampir semua taktik dan teknik penjahat dunia maya telah dianalisis dan didokumentasikan dalam database MITRE ATT & CK publik. Dalam posting ini, kami akan memberi tahu Anda bagaimana, selama penyelidikan insiden nyata, menggunakan basis MITRE ATT & CK membantu kami mengetahui grup mana yang menyerang perusahaan klien.
Analisis awal
Kami didekati oleh sebuah perusahaan, salah satu server di jaringannya terus-menerus bertukar data dengan server Internet pihak ketiga. Setelah pemeriksaan awal, ternyata lalu lintas ini berisi data dan perintah yang dipertukarkan antara malware dan server C&C penyerang.
: , , , . , .
, 62 . 10 13 , , 22 -. , , .
, DLL, cmd.exe. ProcDump Mimikatz. IPC . Schtasks, wmic-.
PDF MS Office, , .
, , MITRE ATT&CK, โ APT3 APT32.
, , , . . , , .
:
,
,
.
.
, โ , , RAR- . . .
, , IP- , ; . . . , , . XOR.
URL . . , , , PDF-.
PowerShell- MySQL
MySQL. , , UID, , SQL-, . :
, , , , , , . . CSV-. , .
FTP-
, . , 7-Zip , XOR-. FTP-, . , .
-, cmd.exe. , , . , .
, -, Apache. - :
, . :
TROJ_CHINOXY.ZAGK, dll;
Procdump โ LSASS;
Mimikatz โ ;
NBTScan โ .
, . .
. , :
, , dll. , dll. , dll -, Procdump .
, , - , , , .
, , , , . . , .
, ยซ ยป, .
โ 1
, dll FTP. .
Lotus Blossom
. Trip, Lotus Blossom. , โ 1:
โ 2
, APT-. , RAR-. . dll, . , .
OceanLotus
, APT32. , . , .
OceanLotus APT32 . , , .
, , . โ , , .
, , , . , , sideloaded-DLL.
, MITRE, . , . , APT, . , .