Cuba勒索软件(又名Tropical Scorpius)的最新攻击策(5)
时间:2022-09-29 04:44 来源:网络整理 作者:采集插件 点击:次
本质上,这种特殊的执行结构导致ROMCOM示例作为一个服务运行,通过HTTP/ICMP请求接收来自C2服务器的命令,然后将这些命令传递给通过rundll32.exe执行的ROMCOM示例。命令被执行,结果被传递回服务执行的ROMCOM有效负载。最后,通过HTTP或ICMP请求将结果发布到C2服务器。 ROMCOM 2.0 ROMCOM 似乎正在积极开发中,因为我们能够在 2022 年 6 月 20 日发现上传到 VirusTotal (VT) 的类似示例,该示例正在与同一个 C2 服务器通信。 原始示例的日期为 2022 年 4 月 10 日,而此示例的文件标头时间戳为 2022 年 5 月 28 日,大约大 400 kb。它共享相同的 startWorker 和 ServiceMain 导出;但是,它还包含第三个导出,称为 startInet。示例中发现的调试字符串的增加可能表明该示例在开发完成之前被防病毒软件捕获; VT 上传者 ID (22b3c7b0) 过去上传了数百万个文件,这排除了任何人个人上传文件的可能性。 在这个版本中,ServiceMain将执行两次ROMCOM 2.0示例,最初执行startInet导出,然后继续执行startWorker导出。然而,比起像最初的ROMCOM示例那样简单地调用CreateProcessA,开发人员将更多的精力放在使用COM对象执行上。
执行startnet和startWorker导出 使用task Scheduler提供的各种COM接口,每个进程都作为系统上的一个任务生成。ROMCOM 2.0将首先通过调用ITaskService->GetFolder来获取任务根文件夹。然后,它删除与将使用ITaskFolder->DeleteTask创建的任务名称相同的任何现有任务。
通过Task Scheduler COM接口注册的任务名称 使用ITaskService->NewTask创建一个空任务,然后使用IPrincipal->put_Id修改安全主体,将标识符设置为NT AUTHORITY\SYSTEM,使用IPrincipal->LogonType将登录类型设置为TASK_LOGON_INTERACTIVE_TOKEN,并使用IPrincipal->put_RunLevel将运行级别设置为TASK_RUNLEVEL_HIGHEST。
使用SYSTEM权限创建任务 为任务设置了0秒的延迟,使用IRegistrationTrigger->PutDelay,由字符串PT0S表示,导致任务在创建后立即执行。
创建任务触发器,延迟设置为0秒 最后,为任务设置一个操作,操作路径设置为rundll32.exe,参数设置为C:\Windows\system32\mskms.dll, argument,其中argument是startWorker或startInet,这取决于所传递的导出。
创建任务动作,导致rundll32.exe执行msk .dll 一旦注册,任务就会被触发,这将导致ROMCOM 2.0主要功能的执行。这与原始示例的结构相同,startInet进程连接到硬编码的C2服务器,并将任何响应传递给startWorker进程以进行相应的处理。开发人员还扩展了已处理命令列表,在现有10个命令的基础上增加了10个命令。这包括下载专门用于对系统进行单个或多个截图的有效载荷,以及提取所有已安装程序的列表,并将其发送回C2。
下载描述的SCREENSHOOTER有效载荷
ROMCOM 2.0支持命令 (责任编辑:admin) |
