[CyberDefenders Write-up] Midnight RDP (恶意RDP到Cobalt Strike信标及域控失陷)
Chicken0248
12分钟阅读·3天前
Q2: 入侵账户后,攻击者向哪些员工发送了钓鱼邮件?按时间顺序排序,用逗号分隔。
查询同一主题的邮件发送记录:
host="ip-10-10-3-192" "twhite@infinitechsolutions.xyz" "Zero Trust Compliance Verification" | sort _time
答案: rnichols,llopez,gbaker,ahall
执行
Q1: 哪个员工下载并执行了恶意附件?
通过进程创建事件查询:
Sysmon EventCode=1 host=IT01 user=rnichols | sort UtcTime | table UtcTime,CommandLine,ParentCommandLine,user,SHA256
答案: rnichols
持久化
Q1: 恶意连接建立后,哪个文件被投递到系统上?
RDP配置文件在连接建立时自动将ztssvc.exe投递到启动文件夹。
答案: ztssvc.exe
Q3: 攻击者创建的未授权账户名称是什么?
攻击者创建了名为Adminstrator的账户(模仿内置Administrator),并加入Administrators组和Remote Desktop Users组。
答案: Adminstrator
Q5: 在域控上创建的新账户名称是什么?
通过PowerShell事件ID 400发现攻击者添加了与合法账户相似的用户rniclos到Domain Admins组。
答案: rniclos
Q2: 攻击者投递的另一个用于提权的文件名是什么?
答案: akagi64.exe
Q2: 攻击者将信标移动到哪个受保护的系统目录中的恶意文件名是什么?
答案: Amazon ZeroTrust Compl.exe
横向移动
Q1: 攻击者使用哪个工具横向移动到域控?
通过解码PowerShell编码命令,发现攻击者配置WinRM的TrustedHosts并连接到域控。
答案: Winrm
Q2: 恶意附件执行后,与外部服务器建立的连接的特定端点是什么?
查询mstsc.exe发起的网络连接。
答案: 3.78.253.99:3389
Q4: DLL配置中'C2Server'键对应的值是什么?
通过VirusTotal行为标签查看内存中的URL模式。
答案: 3.78.244.11,/dot.gif
原文发布于 chickenloner.github.io CSD0tFqvECLokhw9aBeRqpNzLTXFlojmzFn6OlyTg9XWnhAP6q5FfiGb63VkvyGKCRkvJEisc+SrMyQe8eQ0f49+++MPmaCBvFImhXAljuGVvDCEyZI5v5MyYwvTzHicD07zks0oa3QVUOwwC5NUyiWeYJF3kzslLuYafMiEE4esszJBUa6ZN46/0SqVlapy
