--- title: chimera enviroment tag: chimera --- ###### tags: `Chimera` ## 惡意程式行為 ### A公司 - 將惡意payload注入GoogleUpdate.exe - 利用Google Cloud Platform當C2 Server - 利用schtask(內建排程工具)遠端排程後門程式 - 利用wmic確認是否聯網 - 針對DC的registry及ntds.dit進行打包並離線破解密碼 - ntds.dit是AD的資料庫，包含網域中主機及成員的資訊 (如ID、Name、Email及Password Hash)，此檔案為一個加密檔案 - 金鑰於SYSTEM registry - 破口判斷為VPN連線並遠端使用RDP服務時，因不明原因被植入 ### B公司 - 利用無檔案執行惡意payload - 將程式注入到svchost.exe - 利用azure和Google App Engine當C2 Server - 針對guide.pdf等技術文件檔案進行竊取 ### 工具 - SkeletonKey Injector - [mimikatz](https://github.com/gentilkiwi/mimikatz/wiki) - [Skeleton Key](https://wooyun.js.org/drops/%E5%9F%9F%E6%B8%97%E9%80%8F%E2%80%94%E2%80%94Skeleton%20Key.html)(萬用密碼) - pass the hash - bypass gpo(cmd、taskmgr、regedit) - [Dumpert](https://github.com/outflanknl/Dumpert) - Dump lsass.exe - baseClient.exe - Backdoor - Winrar(修改版) ## refer - [Operation SemiChimera](https://s.itho.me/cybersec/2020/slides/8293.pdf)