WinorDLL64: Lazarus کے وسیع ہتھیاروں سے ایک بیک ڈور؟

WinorDLL64: Lazarus کے وسیع ہتھیاروں سے ایک بیک ڈور؟

ٹائم سٹیمپ: 23 فروری 2023 5:30 AM
ماخذ نوڈ: 1975596

ھدف شدہ خطہ، اور رویے اور کوڈ میں اوورلیپ، تجویز کرتا ہے کہ اس ٹول کو شمالی کوریا سے منسلک بدنام زمانہ APT گروپ استعمال کرتا ہے۔

ESET محققین نے پے لوڈز میں سے ایک دریافت کیا ہے۔ ڈبلیو ایس لنک ڈاؤنلوڈر جسے ہم نے 2021 میں دوبارہ دریافت کیا تھا۔ ہم نے اس پے لوڈ کا نام اس کے فائل نام کی بنیاد پر WinorDLL64 رکھا ہے۔ WinorDLL64.dll. Wslink، جس کا فائل نام تھا۔ WinorLoaderDLL64.dll, ونڈوز بائنریز کے لیے ایک لوڈر ہے جو اس طرح کے دیگر لوڈرز کے برعکس، سرور کے طور پر چلتا ہے اور میموری میں موصول ہونے والے ماڈیولز کو چلاتا ہے۔ جیسا کہ الفاظ سے پتہ چلتا ہے، لوڈر پہلے سے سمجھوتہ کیے ہوئے سسٹم پر پے لوڈ، یا اصل مالویئر کو لوڈ کرنے کے لیے ایک ٹول کے طور پر کام کرتا ہے۔ ابتدائی Wslink سمجھوتہ ویکٹر کی شناخت نہیں کی گئی ہے۔

ابتدائی طور پر نامعلوم Wslink پے لوڈ ہمارے بلاگ پوسٹ کی اشاعت کے فوراً بعد جنوبی کوریا سے VirusTotal پر اپ لوڈ کیا گیا تھا، اور Wslink کے منفرد نام کی بنیاد پر ہمارے YARA کے قوانین میں سے ایک کو نشانہ بنایا گیا تھا۔ WinorDLL64. Wslink کے بارے میں، ESET ٹیلی میٹری نے صرف چند ہی کھوج دیکھے ہیں – وسطی یورپ، شمالی امریکہ، اور مشرق وسطیٰ میں۔

۔ WinorDLL64 پے لوڈ ایک بیک ڈور کے طور پر کام کرتا ہے جو خاص طور پر سسٹم کی وسیع معلومات حاصل کرتا ہے، فائلوں میں ہیرا پھیری کے ذرائع فراہم کرتا ہے، جیسے کہ فائلوں کو نکالنا، اوور رائٹنگ کرنا، اور ہٹانا، اور اضافی کمانڈز پر عمل درآمد کرتا ہے۔ دلچسپ بات یہ ہے کہ یہ ایک ایسے کنکشن پر بات چیت کرتا ہے جو Wslink لوڈر کے ذریعہ پہلے ہی قائم کیا گیا تھا۔

2021 میں، ہمیں کوئی ایسا ڈیٹا نہیں ملا جس سے یہ معلوم ہو کہ Wslink ایک معروف دھمکی آمیز اداکار کا آلہ ہے۔ تاہم، پے لوڈ کے ایک وسیع تجزیہ کے بعد، ہم نے منسوب کیا ہے WinorDLL64 Lazarus APT گروپ کو کم اعتماد کے ساتھ ہدف شدہ علاقے کی بنیاد پر اور معلوم Lazarus نمونوں کے ساتھ رویے اور کوڈ دونوں میں ایک اوورلیپ۔

کم از کم 2009 سے سرگرم، یہ بدنام زمانہ شمالی کوریا سے منسلک گروپ ہائی پروفائل واقعات کا ذمہ دار ہے جیسے کہ دونوں سونی پکچرز انٹرٹینمنٹ ہیک اور دسیوں کروڑوں ڈالر 2016 میں سائبر ہیسٹ، WannaCryptor (عرف WannaCry) 2017 میں پھیلنا، اور اس کے خلاف تباہ کن حملوں کی ایک طویل تاریخ جنوبی کوریا کا عوامی اور اہم بنیادی ڈھانچہ کم از کم 2011 سے۔ US-CERT اور FBI اس گروپ کو کہتے ہیں۔ چھپا ہوا کوبرا.

ہماری بنیاد پر وسیع علم اس گروپ کی سرگرمیوں اور کارروائیوں کے بارے میں، ہم سمجھتے ہیں کہ Lazarus ایک بڑی ٹیم پر مشتمل ہے جو منظم طریقے سے، اچھی طرح سے تیار، اور کئی ذیلی گروپوں پر مشتمل ہے جو ایک بڑے ٹول سیٹ کو استعمال کرتے ہیں۔ گزشتہ سال، ہم لعزر کے آلے کو دریافت کیا۔ جس کا فائدہ اٹھایا CVE‑2021‑21551 نیدرلینڈز میں ایرو اسپیس کمپنی کے ملازم اور بیلجیم میں سیاسی صحافی کو نشانہ بنانے کا خطرہ۔ یہ کمزوری کا پہلا ریکارڈ شدہ غلط استعمال تھا۔ مجموعہ میں، ٹول اور کمزوری سمجھوتہ شدہ مشینوں پر تمام حفاظتی حلوں کی نگرانی کو اندھا کرنے کا باعث بنی۔ ہم نے اس کی ایک وسیع تفصیل بھی فراہم کی۔ ورچوئل مشین کی ساخت Wslink کے نمونوں میں استعمال کیا جاتا ہے۔

یہ بلاگ پوسٹ WinorDLL64 کے Lazarus سے انتساب کی وضاحت کرتا ہے اور پے لوڈ کا تجزیہ فراہم کرتا ہے۔

لعزر کے لنکس

ہم نے لازارس کے نمونوں کے ساتھ رویے اور کوڈ دونوں میں اوورلیپس دریافت کیے ہیں۔ آپریشن گھوسٹ سیکرٹ اور بینک شاٹ امپلانٹ McAfee کی طرف سے بیان کیا گیا ہے. GhostSecret اور Bankshot دونوں مضامین میں امپلانٹس کی تفصیل WinorDLL64 کے ساتھ فعالیت میں اوورلیپ پر مشتمل ہے اور ہمیں نمونوں میں کچھ کوڈ اوورلیپ ملا۔ اس بلاگ پوسٹ میں ہم صرف استعمال کریں گے۔ FE887FCAB66D7D7F79F05E0266C0649F0114BA7C WinorDLL64 کے مقابلے کے لیے GhostSecret سے نمونہ (1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F)، جب تک کہ دوسری صورت میں بیان نہ کیا جائے۔

مندرجہ ذیل تفصیلات لازارس سے ہماری کم اعتمادی کے انتساب کے لیے معاون حقائق کا خلاصہ کرتی ہیں:

1. شکاریات

  • AhnLab کے ساتھی محققین نے اپنی ٹیلی میٹری میں Wslink کے جنوبی کوریائی متاثرین کی تصدیق کی، جو کہ لازارس کے روایتی اہداف پر غور کرتے ہوئے ایک متعلقہ اشارے ہے اور یہ کہ ہم نے صرف چند ہٹ کا مشاہدہ کیا ہے۔

تصویر 1. جنوبی کوریا کے شکار کی اطلاع دی گئی، جہاں mstoned7 Ahnlab کا محقق ہے۔

2. میلویئر

  • تازہ ترین GhostSecret نمونہ McAfee (FE887FCAB66D7D7F79F05E0266C0649F0114BA7Cفروری 2018 سے ہے؛ ہم نے Wslink کا پہلا نمونہ 2018 کے آخر میں دیکھا اور ساتھی محققین نے اگست 2018 میں کامیابیوں کی اطلاع دی، جس کا انکشاف انہوں نے ہماری اشاعت کے بعد کیا۔ لہذا، ان نمونوں کو نسبتاً کم وقت کے علاوہ دیکھا گیا تھا۔
  • ۔ PE امیر ہیڈر اس بات کی نشاندہی کرتے ہیں کہ ایک ہی ترقیاتی ماحول اور اسی سائز کے منصوبوں کو لازارس کے کئی دوسرے معلوم نمونوں میں استعمال کیا گیا تھا (مثال کے طور پر، 70DE783E5D48C6FBB576BC494BAF0634BC304FD6; 8EC9219303953396E1CB7105CDB18ED6C568E962)۔ ہمیں مندرجہ ذیل اصولوں کا استعمال کرتے ہوئے یہ اوورلیپ ملا جو صرف ان Wslink اور Lazarus کے نمونوں کا احاطہ کرتا ہے، جو کہ کم وزن کے ساتھ ایک اشارے ہے۔ ہم نے ان کا تجربہ کیا۔ وائرس ٹوٹل کا ریٹروہنٹ اور ہماری اندرونی فائل کارپس۔

rich_signature.length == 80 اور
pe.rich_signature.toolid(175, 30319) == 7 اور
pe.rich_signature.toolid(155, 30319) == 1 اور
pe.rich_signature.toolid(158, 30319) == 10 اور
pe.rich_signature.toolid(170, 30319) >= 90 اور
pe.rich_signature.toolid(170, 30319) <= 108

اس اصول کا ترجمہ درج ذیل اشارے میں کیا جا سکتا ہے جو زیادہ پڑھنے کے قابل ہے اور وائرس ٹوٹل کے ذریعے استعمال کیا جا سکتا ہے، جہاں کوئی پروڈکٹ کا ورژن دیکھ سکتا ہے اور ID بنا سکتا ہے (VS2010 بلڈ 30319استعمال شدہ ماخذ/آبجیکٹ فائلوں کی تعداد اور قسم ([LTCG C++] جہاں LTCG کا مطلب ہے لنک ٹائم کوڈ جنریشن، [ASM], [سی])اور برآمدات کی تعداد ([EXP]) اصول میں:

[LTCG C++] VS2010 تعمیر 30319 شمار = 7
[EXP] VS2010 بلڈ 30319 count=1
[ASM] VS2010 بلڈ 30319 count=10
[ C ] VS2010 کی تعمیر 30319 کی گنتی [ 90 .. 108 ] میں

  • گوسٹ سیکرٹ آرٹیکل نے "ایک منفرد ڈیٹا اکٹھا کرنے اور امپلانٹ انسٹالیشن کا جزو جو ان باؤنڈ کنٹرول سرور کنیکشن کے لیے پورٹ 443 پر سنتا ہے" بیان کیا ہے جو اضافی طور پر ایک سروس کے طور پر چلایا جاتا ہے۔ یہ پورٹ نمبر کے علاوہ Wslink ڈاؤنلوڈر کے رویے کی درست وضاحت ہے، جو کنفیگریشن کی بنیاد پر مختلف ہو سکتی ہے۔ اس کا خلاصہ یہ ہے کہ اگرچہ عمل درآمد مختلف ہے، دونوں ایک ہی مقصد کی تکمیل کرتے ہیں۔
  • لوڈر کو اورینز کوڈ ورچوئلائزر کے ذریعے ورچوئلائز کیا جاتا ہے، جو ایک تجارتی محافظ ہے جو استعمال کیا جاتا ہے۔ اکثر لعزر کی طرف سے.
  • لوڈر استعمال کرتا ہے۔ میموری ماڈیول میموری سے براہ راست ماڈیول لوڈ کرنے کے لیے لائبریری۔ لائبریری کو عام طور پر میلویئر کے ذریعے استعمال نہیں کیا جاتا ہے، لیکن یہ شمالی کوریا سے منسلک گروپوں جیسے کہ Lazarus اور Kimsuky میں کافی مقبول ہے۔
  • WinorDLL64 اور GhostSecret کے درمیان کوڈ کو اوورلیپ کریں جو ہمیں اپنے تجزیہ کے دوران ملا۔ انتساب میں نتائج اور اہمیت جدول 1 میں درج ہیں۔

ٹیبل 1. WinorDLL64 اور GhostSecret کے درمیان مماثلت اور دونوں کو ایک ہی خطرے والے اداکار سے منسوب کرنے میں ان کی اہمیت

WinorDLL64 اور GhostSecret کے درمیان دیگر مماثلتیں۔ اثر
پروسیسر آرکیٹیکچر حاصل کرنے کے لیے ذمہ دار کوڈ میں کوڈ اوورلیپ لو
موجودہ ڈائریکٹری ہیرا پھیری میں کوڈ اوورلیپ لو
عمل کی فہرست حاصل کرنے میں کوڈ اوورلیپ لو
فائل بھیجنے میں کوڈ اوورلیپ لو
فہرست سازی کے عمل میں رویہ اوورلیپ لو
موجودہ ڈائریکٹری ہیرا پھیری میں برتاؤ اوورلیپ لو
فائل اور ڈائریکٹری کی فہرست میں رویہ اوورلیپ لو
فہرست کے حجم میں رویہ اوورلیپ لو
فائلوں کو پڑھنے/لکھنے میں رویہ اوورلیپ لو
عمل تخلیق کرنے میں رویہ اوورلیپ لو
فائلوں کو محفوظ طریقے سے ہٹانے میں کافی رویہ اوورلیپ لو
عمل کے خاتمے میں کافی رویہ اوورلیپ لو
نظام کی معلومات جمع کرنے میں کافی رویہ اوورلیپ لو

فائل بھیجنے کی فعالیت میں کوڈ اوورلیپ کو شکل 2 اور شکل 3 میں نمایاں کیا گیا ہے۔

شکل 2. GhostSecret فائل بھیج رہا ہے۔

شکل 3. Wslink فائل بھیج رہا ہے۔

تکنیکی تجزیہ

WinorDLL64 بیک ڈور کے طور پر کام کرتا ہے جو خاص طور پر سسٹم کی وسیع معلومات حاصل کرتا ہے، فائل میں ہیرا پھیری کے ذرائع فراہم کرتا ہے، اور اضافی کمانڈز پر عمل درآمد کرتا ہے۔ دلچسپ بات یہ ہے کہ یہ ایک TCP کنکشن پر بات چیت کرتا ہے جو پہلے ہی اس کے لوڈر کے ذریعے قائم کیا گیا تھا اور لوڈر کے کچھ افعال استعمال کرتا ہے۔

تصویر 4. Wslink کے مواصلات کا تصور

بیک ڈور ایک DLL ہے جس میں ایک واحد بے نام برآمد ہوتا ہے جو ایک پیرامیٹر کو قبول کرتا ہے – مواصلات کے لیے ایک ڈھانچہ جو پہلے ہی ہمارے میں بیان کیا گیا ہے۔ گزشتہ بلاگ پوسٹ. اس ڈھانچے میں TLS-سیاق و سباق پر مشتمل ہے - ساکٹ، کلید، IV - اور 256-bit AES-CBC کے ساتھ خفیہ کردہ پیغامات بھیجنے اور وصول کرنے کے لیے کال بیکس جو WinorDLL64 کو پہلے سے قائم کردہ کنکشن پر آپریٹر کے ساتھ محفوظ طریقے سے ڈیٹا کا تبادلہ کرنے کے قابل بناتا ہے۔

درج ذیل حقائق ہمیں بڑے اعتماد کے ساتھ یہ یقین دلاتے ہیں کہ لائبریری واقعتا Wslink کا حصہ ہے:

  • منفرد ڈھانچہ ہر جگہ متوقع طریقے سے استعمال کیا جاتا ہے، مثلاً، TLS سیاق و سباق اور دیگر معنی خیز پیرامیٹرز متوقع ترتیب میں درست کال بیکس کو فراہم کیے جاتے ہیں۔
  • ڈی ایل ایل کا نام ہے۔ WinorDLL64.dll اور Wslink کا نام تھا۔ WinorLoaderDLL64.dll.

WinorDLL64 کئی کمانڈز کو قبول کرتا ہے۔ شکل 5 وہ لوپ دکھاتا ہے جو کمانڈز وصول کرتا اور ہینڈل کرتا ہے۔ ہر کمانڈ ایک منفرد ID کا پابند ہے اور ایک ایسی ترتیب کو قبول کرتا ہے جس میں اضافی پیرامیٹرز ہوتے ہیں۔

تصویر 5. بیک ڈور کے کمانڈ وصول کرنے والے لوپ کا مرکزی حصہ

کمانڈ لسٹ، ہمارے لیبلز کے ساتھ، شکل 6 میں ہے۔

تصویر 6۔ کمانڈ لسٹ

جدول 2 میں WinorDLL64 کمانڈز کا خلاصہ شامل ہے، جہاں ترمیم کی گئی ہے، اور پرانے زمرے پہلے سے دستاویزی GhostSecret فعالیت سے تعلق کا حوالہ دیتے ہیں۔ ہم ترمیم شدہ زمرہ میں صرف اہم تبدیلیوں کو نمایاں کرتے ہیں۔

ٹیبل 2۔ بیک ڈور کمانڈز کا جائزہ

قسم کمانڈ ID فعالیت Description
نئی 0x03 پاور شیل کمانڈ پر عمل کریں۔ WinorDLL64 پاور شیل مترجم کو غیر محدود چلانے اور معیاری ان پٹ سے کمانڈز پڑھنے کی ہدایت کرتا ہے۔ اس کے بعد، بیک ڈور مترجم کو مخصوص کمانڈ دیتا ہے اور آؤٹ پٹ آپریٹر کو بھیجتا ہے۔
0x09 ایک ڈائرکٹری کو سکیڑیں اور ڈاؤن لوڈ کریں۔ WinorDLL64 ایک مخصوص ڈائرکٹری پر بار بار اعادہ کرتا ہے۔ ہر فائل اور ڈائریکٹری کے مواد کو الگ سے کمپریس کیا جاتا ہے اور ایک عارضی فائل میں لکھا جاتا ہے جو بعد میں آپریٹر کو بھیج دیا جاتا ہے اور پھر محفوظ طریقے سے ہٹا دیا جاتا ہے۔
0x0D۔ سیشن منقطع کریں۔ صارف کے ریموٹ ڈیسک ٹاپ سروسز سیشن سے مخصوص لاگ آن صارف کو منقطع کرتا ہے۔ کمانڈ پیرامیٹر کی بنیاد پر مختلف فعالیت بھی انجام دے سکتی ہے۔
0x0D۔ فہرست سیشنز متاثرہ کے آلے پر تمام سیشنز کے بارے میں مختلف تفصیلات حاصل کرتا ہے اور انہیں آپریٹر کو بھیجتا ہے۔ کمانڈ پیرامیٹر کی بنیاد پر مختلف فعالیت بھی انجام دے سکتی ہے۔
0x0E کنکشن کے وقت کی پیمائش کریں۔ ونڈوز API استعمال کرتا ہے۔ GetTickCount کسی مخصوص میزبان سے جڑنے کے لیے درکار وقت کی پیمائش کرنے کے لیے۔
ترمیم شدہ 0x01 سسٹم کی معلومات حاصل کریں۔ متاثرہ کے نظام کے بارے میں جامع تفصیلات حاصل کرتا ہے اور انہیں آپریٹر کو بھیجتا ہے۔
0x0A۔ فائلوں کو محفوظ طریقے سے ہٹا دیں۔ بے ترتیب ڈیٹا کے ایک بلاک کے ساتھ مخصوص فائلوں کو اوور رائٹ کرتا ہے، ہر فائل کا نام بدل کر بے ترتیب نام رکھتا ہے، اور آخر میں محفوظ طریقے سے ایک ایک کرکے ہٹا دیتا ہے۔
0x0C۔ عمل کو مار ڈالو ان تمام عملوں کو ختم کرتا ہے جن کے نام فراہم کردہ پیٹرن اور/یا مخصوص PID کے ساتھ ملتے ہیں۔
پرانا 0x02/0x0B ایک عمل بنائیں موجودہ یا مخصوص صارف کے طور پر ایک پروسیس بناتا ہے اور اختیاری طور پر اس کا آؤٹ پٹ آپریٹر کو بھیجتا ہے۔
0x05 موجودہ ڈائریکٹری سیٹ/حاصل کریں۔ موجودہ ورکنگ ڈائرکٹری کا راستہ طے کرنے اور بعد میں حاصل کرنے کی کوشش۔
0x06 جلدوں کی فہرست C: سے Z: تک ڈرائیوز پر اعادہ کرتا ہے اور ڈرائیو کی قسم اور حجم کا نام حاصل کرتا ہے۔ کمانڈ پیرامیٹر کی بنیاد پر مختلف فعالیت بھی انجام دے سکتی ہے۔
0x06 ڈائریکٹری میں فائلوں کی فہرست بنائیں مخصوص ڈائرکٹری میں فائلوں پر تکرار کرتا ہے اور معلومات حاصل کرتا ہے جیسے نام، صفات وغیرہ۔ کمانڈ پیرامیٹر کی بنیاد پر مختلف فعالیت بھی انجام دے سکتی ہے۔
0x07 ایک فائل میں لکھیں۔ ڈاؤن لوڈ اور ڈیٹا کی بیان کردہ رقم کو مخصوص فائل میں شامل کرتا ہے۔
0x08 ایک فائل سے پڑھیں مخصوص فائل کو پڑھ کر آپریٹر کو بھیج دیا جاتا ہے۔
0x0C۔ فہرست کے عمل متاثرہ کے آلے پر چلنے والے تمام عمل کے بارے میں تفصیلات حاصل کرتا ہے اور اس کے علاوہ موجودہ عمل کی ID بھیجتا ہے۔

نتیجہ

Wslink کا پے لوڈ فائل میں ہیرا پھیری، مزید کوڈ پر عمل درآمد، اور بنیادی نظام کے بارے میں وسیع معلومات حاصل کرنے کے لیے وسائل فراہم کرنے کے لیے وقف ہے جسے ممکنہ طور پر بعد میں نیٹ ورک سیشنز میں مخصوص دلچسپی کی وجہ سے پس منظر کی نقل و حرکت کے لیے فائدہ اٹھایا جا سکتا ہے۔ Wslink لوڈر کنفیگریشن میں بیان کردہ پورٹ پر سنتا ہے اور اضافی کنیکٹنگ کلائنٹس کی خدمت کر سکتا ہے، اور یہاں تک کہ مختلف پے لوڈز بھی لوڈ کر سکتا ہے۔

WinorDLL64 میں ترقی کے ماحول، رویے، اور کوڈ میں لازارس کے متعدد نمونوں کے ساتھ ایک اوورلیپ ہوتا ہے، جو اس بات کی نشاندہی کرتا ہے کہ یہ شمالی کوریا کے منسلک APT گروپ کے وسیع ہتھیاروں کا ایک آلہ ہو سکتا ہے۔

ESET ریسرچ نجی APT انٹیلی جنس رپورٹس اور ڈیٹا فیڈز پیش کرتا ہے۔ اس سروس کے بارے میں کسی بھی استفسار کے لیے، ملاحظہ کریں۔ ای ایس ای ٹی تھریٹ انٹیلی جنس صفحہ.

آئی او سیز

ان شاء 1 ESET کا پتہ لگانے کا نام Description
1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F Win64/Wslink.A دریافت شدہ Wslink پے لوڈ WinorDll64 کا میموری ڈمپ۔

MITER ATT&CK تکنیک

یہ میز استعمال کرتے ہوئے بنایا گیا تھا۔ ورژن 12 اے ٹی ٹی اینڈ سی کے فریم ورک کا۔ ہم دوبارہ لوڈر کی تکنیکوں کا ذکر نہیں کرتے، صرف پے لوڈ کا۔

حربہ ID نام Description
وسائل کی ترقی T1587.001 صلاحیتوں کو تیار کریں: میلویئر WinorDLL64 ایک حسب ضرورت ٹول ہے۔
پھانسی T1059.001 کمانڈ اور اسکرپٹنگ ترجمان: پاور شیل WinorDLL64 صوابدیدی PowerShell کمانڈز کو انجام دے سکتا ہے۔
T1106 آبائی API WinorDLL64 کا استعمال کرتے ہوئے مزید عمل کو انجام دے سکتا ہے۔ CreateProcessW اور CreateProcessAsUserW APIs.
دفاعی چوری T1134.002 ٹوکن ہیرا پھیری تک رسائی: ٹوکن کے ساتھ عمل تخلیق کریں۔ WinorDLL64 APIs کو کال کر سکتا ہے۔ WTSQueryUserToken اور CreateProcessAsUserW ایک نقالی صارف کے تحت ایک عمل تخلیق کرنے کے لیے۔
T1070.004 اشارے کو ہٹانا: فائل کو حذف کرنا WinorDLL64 صوابدیدی فائلوں کو محفوظ طریقے سے ہٹا سکتا ہے۔
ڈسکوری T1087.001 اکاؤنٹ کی دریافت: مقامی اکاؤنٹ WinorDLL64 دیگر تفصیلات کے ساتھ سیشنوں کی گنتی اور متعلقہ صارف اور کلائنٹ کے ناموں کی فہرست بنا سکتا ہے۔
T1087.002 اکاؤنٹ کی دریافت: ڈومین اکاؤنٹ WinorDLL64 سیشنوں کی گنتی کر سکتا ہے اور متعلقہ ڈومین ناموں کی فہرست دے سکتا ہے – دیگر تفصیلات کے ساتھ۔
T1083 فائل اور ڈائرکٹری کی دریافت WinorDLL64 فائل اور ڈائریکٹری کی فہرستیں حاصل کر سکتے ہیں۔
T1135 نیٹ ورک شیئر ڈسکوری WinorDLL64 مشترکہ نیٹ ورک ڈرائیوز دریافت کر سکتا ہے۔
T1057 عمل دریافت WinorDLL64 چلانے کے عمل کے بارے میں معلومات اکٹھا کر سکتا ہے۔
T1012 استفسار رجسٹری WinorDLL64 سسٹم کی معلومات اکٹھا کرنے کے لیے ونڈوز رجسٹری سے استفسار کر سکتا ہے۔
T1082 سسٹم انفارمیشن ڈسکوری WinorDLL64 کمپیوٹر کا نام، OS اور تازہ ترین سروس پیک ورژن، پروسیسر کا فن تعمیر، پروسیسر کا نام، اور فکسڈ ڈرائیوز پر جگہ کی مقدار جیسی معلومات حاصل کر سکتا ہے۔
T1614 سسٹم لوکیشن ڈسکوری WinorDLL64 کا استعمال کرتے ہوئے شکار کے پہلے سے طے شدہ ملک کا نام حاصل کر سکتا ہے۔ GetLocaleInfoW API.
T1614.001 سسٹم لوکیشن ڈسکوری: سسٹم لینگویج ڈسکوری WinorDLL64 کا استعمال کرتے ہوئے شکار کی ڈیفالٹ زبان حاصل کر سکتا ہے۔ GetLocaleInfoW API.
T1016 سسٹم نیٹ ورک کنفیگریشن ڈسکوری WinorDLL64 نیٹ ورک اڈاپٹر کی معلومات کو گن سکتا ہے۔
T1049 سسٹم نیٹ ورک کنکشنز کی دریافت WinorDLL64 سننے والے بندرگاہوں کی فہرست جمع کر سکتا ہے۔
T1033 سسٹم کے مالک/صارف کی دریافت WinorDLL64 سیشنوں کی گنتی کر سکتا ہے اور متعلقہ صارف، ڈومین، اور کلائنٹ کے ناموں کی فہرست دے سکتا ہے۔
جمعکاری T1560.002 جمع شدہ ڈیٹا کو محفوظ کریں: لائبریری کے ذریعے آرکائیو کریں۔ WinorDLL64 کا استعمال کرتے ہوئے ڈائریکٹریز کو کمپریس اور نکال سکتا ہے۔ Quicklz لائبریری.
T1005 لوکل سسٹم سے ڈیٹا WinorDLL64 متاثرہ کے آلے پر ڈیٹا اکٹھا کر سکتا ہے۔
اثر T1531 اکاؤنٹ تک رسائی ہٹانا WinorDLL64 لاگ آن صارف کو مخصوص سیشنز سے منقطع کر سکتا ہے۔

ٹائم اسٹیمپ:

سے زیادہ ہم سیکورٹی رہتے ہیں