Nhóm phần mềm tống tiền Play đã phát triển hai công cụ tùy chỉnh trong .NET, đó là Grixba và VSS Copying Tool, nhóm này sử dụng các công cụ này để nâng cao hiệu quả của các cuộc tấn công mạng.
Hai công cụ này cho phép kẻ tấn công liệt kê người dùng và máy tính trong các mạng bị xâm nhập, thu thập thông tin về phần mềm bảo mật, sao lưu và quản trị từ xa, đồng thời dễ dàng sao chép các tệp từ Dịch vụ sao chép ổ đĩa (VSS) để bỏ qua các tệp bị khóa.
Các nhà nghiên cứu bảo mật tại Symantec đã phát hiện và phân tích các công cụ mới và chia sẻ những phát hiện của họ với BleepingComputer trước khi xuất bản báo cáo của họ.
Grixba là một công cụ quét mạng và đánh cắp thông tin được sử dụng để liệt kê người dùng và máy tính trong một miền. Nó cũng hỗ trợ chế độ 'quét' sử dụng WMI, WinRM, Đăng ký từ xa và Dịch vụ từ xa để xác định phần mềm nào chạy trên thiết bị mạng.
Khi thực hiện chức năng quét, Grixba sẽ kiểm tra các chương trình chống vi-rút và bảo mật, bộ EDR, công cụ sao lưu và công cụ quản trị từ xa. Ngoài ra, máy quét sẽ kiểm tra các ứng dụng văn phòng phổ biến và DirectX, có khả năng xác định loại máy tính được quét.
Công cụ này lưu tất cả dữ liệu đã thu thập trong các tệp CSV, nén chúng vào kho lưu trữ ZIP, sau đó trích xuất dữ liệu đó đến máy chủ C2 của kẻ tấn công, cung cấp cho chúng thông tin quan trọng về cách lập kế hoạch cho các bước tiếp theo của cuộc tấn công.
Đối số dòng lệnh Grixba
Công cụ tùy chỉnh thứ hai được Symantec phát hiện trong các cuộc tấn công ransomware Play là VSS Copying Tool, cho phép kẻ tấn công tương tác với Volume Shadow Copy Service (VSS) thông qua lệnh gọi API bằng cách sử dụng thư viện AlphaVSS .NET đi kèm .
Volume Shadow Copy Service là một tính năng của Windows cho phép người dùng tạo ảnh chụp nhanh hệ thống và sao lưu các bản sao dữ liệu của họ tại các thời điểm cụ thể và khôi phục chúng trong trường hợp mất dữ liệu hoặc hỏng hệ thống.
Công cụ sao chép VSS cho phép phần mềm tống tiền Play lấy cắp các tệp từ các bản sao ổ đĩa ảo hiện có ngay cả khi các tệp đó đang được các ứng dụng sử dụng.
Cả hai công cụ được Symantec phân tích đều được viết bằng công cụ phát triển Costura .NET, có thể xây dựng các tệp thực thi độc lập không yêu cầu phụ thuộc, giúp triển khai dễ dàng hơn trên các hệ thống bị xâm nhập.
Việc sử dụng các công cụ tùy chỉnh của phần mềm tống tiền Play cho thấy rằng tác nhân đe dọa khét tiếng nhằm mục đích tăng hiệu quả của các cuộc tấn công và thực hiện các tác vụ độc hại của chúng hiệu quả hơn.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.