Windows Host Process Rundll32 High Disk Usage

Windows Host Process Rundll32 High Disk Usage – Conti adalah pemain kunci dalam ekosistem ransomware, peringkat #2 secara keseluruhan dalam laporan ransomware Coveware untuk Q2 2021. Grup yang menggunakan RaaS ini telah tumbuh secara signifikan. Penggunaan ransomware oleh grup tidak mungkin berhenti dalam waktu dekat, meskipun grup tersebut memiliki aplikasi bersama yang mengungkapkan banyak metodenya yang tercakup dalam laporan sebelumnya.

Pada bulan Juli, kami melihat kampanye BazarLoader yang mendistribusikan Cobalt Strike dan diakhiri dengan versi seluruh domain menggunakan ransomware Conti.

Windows Host Process Rundll32 High Disk Usage

Windows Host Process Rundll32 High Disk Usage

BazarLoader tetap menjadi salah satu vendor ransomware paling terkemuka yang mengancam akses pemain. Dalam intervensi ini, kami tidak mengetahui kampanye asli yang mendistribusikan malware, tetapi berdasarkan informasi sebelumnya, kami dapat memperkirakan dengan keyakinan tinggi bahwa vektor pengiriman adalah kampanye email jahat. Selama intrusi, grup menyetujui lampiran zip dan file JavaScript berbahaya untuk mengunduh malware BazarLoader. Tapi BazarLoader juga bisa digunakan di dokumen Word dan Excel.

Detecting Printnightmare Exploit Attempts Using Trend Micro Vision One And Cloud One

Dalam hal ini kita melihat bahwa tugas pertama dimulai dengan BazarLoader DLL. Dalam eksekusi pertama di pantai, malware membuat koneksi pertama ke perintah dan kontrol, dan setelah beberapa menit melakukan operasi penemuan di host menggunakan alat Microsoft seperti Net dan Nltest untuk menemukan domain dan pengguna yang tertarik. seperti administrator domain. Setelah operasi ini, tuan rumah diam selama satu jam sebelum mengunduh dan menjalankan DLL beacon Cobalt Strike.

Pelaku ancaman menggunakan Cobalt Strike untuk melakukan tugas deteksi tambahan menggunakan utilitas Microsoft seperti clean, ping, systeminfo, dan task manager. Pelaku ancaman kemudian mulai menggunakan hash dan akun lain yang disimpan berkali-kali selama penyusupan. Penyerang memindai jaringan SMB untuk melihat mesin mana yang beroperasi.

Setelah hampir dua setengah jam, para pelaku ancaman mulai bergerak ke samping. Operasi pintu belakang melibatkan aktor jahat yang mentransfer file yang dapat dieksekusi ke sistem jarak jauh dan kemudian menjalankannya menggunakan wmic. Ini adalah metode utama pergerakan lateral yang disukai oleh aktor ancaman, tetapi suar PowerShell Cobalt Strike, layanan suar Cobalt Strike yang dapat dieksekusi, dan RDP semuanya digunakan, tetapi jarang. Setelah masuk ke sistem jarak jauh, aktor menggunakan Cobalt Strike untuk membuang memori lsass untuk mendapatkan beberapa kredensial.

Setelah fase ini, pemain berbahaya sudah selesai, tetapi Cobalt Strike terus muncul di server C2. Sekitar 12 jam kemudian, pelaku ancaman kembali aktif. Dari pengontrol domain, pelaku ancaman melanjutkan pergerakan lateral mereka ke server di atas lingkungan. Mereka menggunakan skrip PowerShell untuk menentukan penggunaan disk host, memeriksa waktu login pengguna terakhir di setiap host, menguji perangkat lunak antivirus yang diinstal, dan terus memantau host mana yang online sehingga pelaku ancaman dapat menargetkannya.

North Korean Attackers Use Malicious Blogs To Deliver Malware To High Profile South Korean Targets

Saat penyerang mengidentifikasi server file, metode mereka untuk memperoleh informasi rawan kesalahan. Mereka mengunduh WinSCP dari situs web proyek, memasangnya di server file, dan melanjutkan untuk mengambil data dari server menggunakan SCP di host VPS yang mereka kelola di Rumania.

Kira-kira 31 jam setelah pertama kali memasuki lingkungan, pelaku ancaman merasa siap untuk mengejar tujuan akhir mereka. Aktivitas RDP diamati pada banyak host dan test.exe yang dapat dieksekusi dikirim ke beberapa titik akhir. File pengujian ini adalah ransomware Conti yang dapat dieksekusi dan pelaku ancaman memutuskan untuk mengujinya dengan cara yang terkontrol sebelum menggunakan penyebaran ransomware domain. Seperti sebelumnya, “pengujian unit” ini dilakukan menggunakan wmic untuk membuat file jarak jauh dari titik akhir.

Pelaku ancaman perlu mengonfirmasi keberhasilan pengujian mereka dengan cepat, karena mereka dapat mengunduh file test.exe bernama backup.exe ke dua server di lingkungan setelah beberapa menit dan menjalankannya secara manual melalui sesi RDP. Saat dieksekusi dengan cara ini, ransomware memasang semua drive C$ jarak jauh di jaringan lokal dan mulai menyembunyikan konten melalui koneksi SMB. Pada saat yang sama, time to payback (TTR) untuk pelaku ancaman tidak melebihi 32 jam sejak ketersediaan awal.

Windows Host Process Rundll32 High Disk Usage

Kami menawarkan beberapa layanan termasuk Cobalt Strike, Metasploit, Empire, PoshC2, BazarLoader, dll. Layanan Umpan Ancaman yang melacak platform Komando dan Kontrol. Informasi lebih lanjut tentang ini dan lebih banyak lagi dapat ditemukan di sini. Server Cobalt Strike yang digunakan dalam intervensi ini telah ditambahkan ke umpan ancaman kami pada 01/07/2021.

Threat Analysis Report: Socgholish And Zloader

Kami juga memiliki artefak dan IOC, seperti pcap, cache, file, log peristiwa, termasuk Sysmon, paket Cape, dan lainnya, sebagai bagian dari layanan Riset Keamanan dan Organisasi kami.

Dalam hal ini, kami tidak mempertimbangkan pengiriman awal malware tersebut. Tetapi BazarLoader masuk ke situs menggunakan kampanye email jahat dan telah dilaporkan beberapa kali oleh media sosial untuk merekayasa pengguna untuk mengunduh malware. Karena dimulai dengan file DLL, ini mungkin terkait dengan kampanye email yang menggunakan file zip Javascript yang berbahaya.

Sekitar satu jam setelah pembunuhan pertama di atas pantai, suar Cobalt Strike juga diluncurkan oleh rundll32.

Pelaku ancaman menggunakan teknik hashing untuk mencoba meningkatkan hak istimewa saat login. Awalnya, berbagai akun diincar, termasuk akun Tamu.

Year In Review

Jarum sistem yang diidentifikasi dalam suar Cobalt Strike adalah program svchost yang berjalan dengan hak istimewa yang lebih tinggi.

Malware BazarLoader berpijak memulai upaya deteksi 20 menit setelah eksekusi pertamanya. Perintah pembuka menggunakan utilitas Microsoft bawaan standar.

Cobalt Strike Beacon melakukan pengintaian tambahan di laut. Alat Microsoft juga digunakan.

Windows Host Process Rundll32 High Disk Usage

Dari pengontrol domain, pelaku ancaman menjalankan perintah PowerShell dengan kode untuk memeriksa ukuran dan status hard drive di mana saja.

Usecases Dashboards — Usecases Latest Documentation

Skrip Get-DataInfo.ps1 yang digunakan di banyak login tahun lalu juga digunakan. File ini dimulai dengan start.bat, yang dirujuk berkali-kali dalam skrip ini.

Konten Get-DataInfo.ps1 memberikan aktor ancaman informasi spesifik tentang lingkungan. Ini termasuk hal-hal seperti ruang disk, konektivitas, perangkat lunak antivirus, dan perangkat lunak pencadangan.

Dalam langkah yang lebih berbahaya, pelaku ancaman lebih cenderung menyalin file yang dapat dieksekusi melalui SMB dan kemudian mengeksekusinya melalui panggilan WMIC jarak jauh.

Sementara prestasi dan wmic adalah pilihan yang lebih disukai aktor, mereka menggunakan banyak teknik lainnya.

Bumblebee Loader Malware Analysis

Pelaku ancaman terbaru menggunakan RDP untuk beralih di antara beberapa server sebagai bagian dari upaya terbarunya.

Pada saat itu, beacon Cobalt Strike yang telah selesai digunakan sebagai layanan ke host jarak jauh untuk menguji penerapan terakhir hari itu.

Selain teknik manajemen perintah ini, anomali jaringan lain diamati. Itu tidak digunakan untuk perintah dan kontrol dasar, dan karena jumlah data yang dikirim kecil, kami tidak mengetahui tujuan operasi sepenuhnya, tetapi banyak sistem penting, seperti pengontrol domain dan server file, terhubung ke node TOR diluncurkan oleh ancaman. aktor.

Windows Host Process Rundll32 High Disk Usage

Pada hari kedua akses, pelaku jahat mengunduh file WinSCP ke server dan melanjutkan untuk menginstal program di sana.

Covert Code Faces A Heap Of Trouble In Memory

Karena lalu lintas dienkripsi, kami tidak dapat menentukan data mana yang bocor. Namun, kami dapat mengatakan bahwa pilihan untuk menggunakan server file tergantung pada data yang tersedia dan kemudahan transfer data.

Sepotong informasi lainnya adalah setelah mengekstraksi dokumen kenari pada saham yang dilaporkan untuk publik di IP pada host Virtual Private di New York, AS.

Selama jam malam Hari 2, pelaku ancaman mulai bergerak menuju tujuan akhir mereka. Ini termasuk menguji ransomware mereka di situs yang rentan sebelum menerapkannya di mana-mana.

Mereka meluncurkan koneksi RDP, dan file suar Cobalt Strike dieksekusi sampai akhir sebelum dikaitkan dengan pelaku ancaman. Pelaku ancaman kemudian mentransfer file Conti yang dapat dieksekusi bernama test.exe ke beberapa titik akhir.

Unpacking Cve 2021 40444: A Deep Technical Analysis Of An Office Rce Exploit

File uji ini dipanggil dari jarak jauh menggunakan wmic seperti yang terlihat pada tugas tindakan sebelumnya.

Setelah pengujian pada beberapa titik akhir, pelaku ancaman mengunduh versi file yang diubah namanya ke beberapa server di lingkungan dan menggunakan sesi RDP manual.

Dari sana, pelaku ancaman keluar dari lingkungan dengan fitur ini, dan versi domain berakhir kira-kira 32 jam setelah tempat berpijak BazarLoader pertama dimatikan. kecemasan. Pelajari apa itu rundll32.exe host Windows, mengapa ini penting, cara kerjanya, dan apa yang harus diperhatikan pengguna saat melihatnya berjalan di komputer mereka.

Windows Host Process Rundll32 High Disk Usage

Selain itu, artikel ini memberikan tip tentang cara mengidentifikasi versi rundll32.exe yang sah dan cara melindungi dari versi berbahaya dari file tersebut.

Practical Malware Analysis

Program host Windows rundll32.exe merupakan bagian integral dari Microsoft Windows. Ini dirancang untuk melakukan tugas yang terkandung dalam file Windows DLL (Dynamic Linked Library). Sederhananya, rundll32.exe membantu aplikasi Windows menggunakan fungsi tertentu yang disimpan dalam file DLL ini.

Bayangkan menjalankan aplikasi Windows yang membutuhkan akses ke file DLL tertentu agar berfungsi dengan baik. SAYA

Storage analyzer & disk usage, windows module installer worker high disk usage, windows module installer worker high cpu usage, windows host process rundll32, host process for windows services high memory usage, windows host process rundll32 has stopped working

About samidroid11

Check Also

Cara Membuat Persentase Di Excel

Cara Membuat Persentase Di Excel – Microsoft Excel dikenal dengan kemampuannya dalam mengolah data dan …

Leave a Reply

Your email address will not be published. Required fields are marked *