在这篇博文中，ESET 研究人员介绍了 Spacecolon，这是一个小型工具集，用于向世界各地的受害者部署 Scarab 勒索软件的变体。 它可能通过其操作员破坏易受攻击的 Web 服务器或通过暴力破解 RDP 凭据进入受害者组织。

一些 Spacecolon 版本包含大量土耳其字符串； 因此我们怀疑是一个讲土耳其语的开发商。 我们能够将 Spacecolon 的起源至少追溯到 2020 年 2023 月，并在撰写本文时继续看到新的活动，最新版本编译于 XNUMX 年 XNUMX 月。尽管进行了这种跟踪以及我们对 Spacecolon 组成工具的详细分析，但我们无法目前将其使用归因于任何已知的威胁行为者组织。 因此，我们将Spacecolon的算子称为CosmicBeetle来代表“空间”和“圣甲虫”的链接。

Spacecolon 由三个 Delphi 组件组成——内部称为 HackTool、Installer 和 Service，在本博文中将称为 ScHackTool、ScInstaller 和 ScService。 ScHackTool 是主要的协调器组件，它允许 CosmicBeetle 部署其他两个组件。 ScInstaller 是一个小组件，只有一个目的：安装 ScService。 ScService 充当后门，允许 CosmicBeetle 执行自定义命令、下载和执行有效负载，以及从受感染的计算机检索系统信息。

除了这三个组件之外，Spacecolon 的运营商还严重依赖 Spacecolon 按需提供的各种第三方工具，包括合法的和恶意的。

在准备发布本报告时，我们观察到一个新的勒索软件系列正在开发中，样本已从土耳其上传到 VirusTotal。 我们非常有信心地相信它是由与 Spacecolon 相同的开发者编写的； 因此我们将其称为 ScRansom。 我们的归因基于代码中相似的土耳其语字符串、IPWorks 库的使用以及整体 GUI 相似性。 ScRansom 尝试使用 AES-128 算法以及从硬编码字符串生成的密钥来加密所有硬盘、可移动和远程驱动器。 在撰写本文时，我们尚未观察到 ScRansom 被部署在野外，我们认为它仍处于开发阶段。 上传到 VirusTotal 的最新变体捆绑在 MSI 安装程序中，以及一个用于删除卷影副本的小实用程序。

这篇博文的要点：

• CosmicBeetle 运营商可能会破坏容易受到 ZeroLogon 漏洞影响的 Web 服务器或那些能够暴力破解其 RDP 凭据的服务器。
• Spacecolon 根据需要提供多种第三方红队工具。
• CosmicBeetle 没有明确的目标； 其受害者遍布世界各地。
• Spacecolon 可以充当 RAT 和/或部署勒索软件； 我们已经看到它交付圣甲虫了。
• Spacecolon 运营商或开发人员似乎正在准备分发新的勒索软件，我们将其命名为 ScRansom。

产品特点

Spacecolon 这个名称是由 Zaufana Trzecia Strona 分析师指定的，他是第一个（据我们所知，也是唯一一个）的作者。 刊物 （波兰语）关于工具集。 在此出版物的基础上，ESET 提供了对威胁的更深入的洞察。 为了避免混淆，我们将该工具集称为 Spacecolon，将其操作员称为 CosmicBeetle。

攻击场景如下：

1.    CosmicBeetle 危害易受攻击的 Web 服务器或简单地暴力破解其 RDP 凭据。

2.    CosmicBeetle 部署 ScHackTool。

3.    使用 ScHackTool，CosmicBeetle 可以按需使用任何其他可用的第三方工具来禁用安全产品、提取敏感信息并获得进一步的访问权限。

4.    如果目标被认为有价值，CosmicBeetle 可以部署 ScInstaller 并使用它来安装 ScService。

5.    ScService 为 CosmicBeetle 提供了进一步的远程访问。

6.    最后，CosmicBeetle 可能会选择通过 ScService 或手动部署 Scarab 勒索软件。

在一些情况下，我们注意到 ScService 是通过以下方式部署的： 封包 而不是 ScInstaller，根本不使用 ScHackTool。 我们得出的结论是，使用 ScHackTool 作为初始组件并不是 Spacecolon 操作员采用的唯一方法。

CosmicBeetle 部署的最终有效负载是 圣甲虫勒索软件。 该变体内部还部署了 ClipBanker，这是一种恶意软件，可以监视剪贴板的内容，并将其认为可能是加密货币钱包地址的内容更改为攻击者控制的地址。

初始访问

ESET 遥测表明，某些目标通过 RDP 暴力破解而受到损害 - 附录 A 中列出的其他工具进一步支持了这一点 - 攻击者使用的第三方工具，可供 Spacecolon 操作员使用。 除此之外，我们基于下一节中描述的自定义 .NET 工具，高度确信 CosmicBeetle 滥用了 CVE-2020-1472 (ZeroLogon) 漏洞。

我们确信 CosmicBeetle 也可能滥用 FortiOS 中的漏洞进行初始访问。 我们相信这一点是基于绝大多数受害者在其环境中拥有运行 FortiOS 的设备，并且 ScInstaller 和 ScService 组件在其代码中引用了字符串“Forti”。 根据 CISA 的数据，三个 FortiOS 漏洞位列 2022 年最常被利用的漏洞之列。不幸的是，除了这些工件之外，我们没有关于此类可能的漏洞利用的更多详细信息。

关上你身后的门

在多个场合，ESET 遥测显示 Spacecolon 操作员正在执行自定义 .NET 有效负载，我们在此将其称为 ScPatcher。 ScPatcher 的设计初衷是不做任何恶意行为。 相反：它安装选定的 Windows 更新。 安装的更新列表如表 1 所示，ScPatcher 的相应代码部分如图 1 所示。

表 1. ScPatcher 安装的 Windows 更新列表

ScPatcher 还包含两个旨在删除和执行的函数：

·      更新.bat，一个用于更改 Windows 自动更新设置的小 BAT 脚本，以及

·      向上.vbs，几乎相同的副本 官方 MSDN 示例 用于下载和安装 Windows 更新的脚本，稍作更改的是不接受用户输入，而是允许更新自动且静默地进行。

虽然代码中没有引用这两个函数，但 ESET 遥测显示 Spacecolon 操作员直接通过 Impacket 执行这两个脚本。 这些功能如图 2 和图 3 所示。

受害者学

除了容易受到 CosmicBeetle 使用的初始访问方法的影响之外，我们没有在 Spacecolon 受害者中观察到任何模式。 图 4 说明了 ESET 遥测识别的 Spacecolon 事件。

我们也没有发现目标的焦点区域或大小有任何模式。 仅举几例，我们在泰国的一家医院和旅游胜地、以色列的一家保险公司、波兰的一家地方政府机构、巴西的一家娱乐提供商、土耳其的一家环保公司以及墨西哥的一所学校观察到了 Spacecolon。

技术分析

我们首先简要了解 Spacecolon 部署的勒索软件变种，然后继续分析 Spacecolon 组件本身。

圣甲虫勒索软件

圣甲虫 是 Delphi 编写的勒索软件。 它包含与以下代码重叠的显着代码 勃朗 和 维加锁 家庭。 它依赖于一个嵌入式配置，其格式几乎与 齐柏林 勒索软件。 该配置决定了加密文件的文件扩展名、文件名、要加密的文件的文件扩展名列表以及勒索消息等。

我们遇到的绝大多数 Scarab 构建都遇到过删除并执行嵌入式 Delphi 编写的 ClipBanker，该程序监视剪贴板内容，并将任何类似于加密货币钱包的字符串替换为攻击者控制的字符串，特别是以下字符串之一：

·      1HtkNb73kvUTz4KcHzztasbZVonWTYRfVx

·      qprva3agrhx87rmmp5wtn805jp7lmncycu3gttmuxe

·      0x7116dd46e5a6c661c47a6c68acd5391a4c6ba525

·      XxDSKuWSBsWFxdJcge8xokrtzz8joCkUHF

·4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQnt2yEaJRD7Km8Pnph

·      t1RKhXcyj8Uiku95SpzZmMCfTiKo4iHHmnD

我们能够最终将 Spacecolon 与至少两个 Scarab 版本联系起来 .flycrypt 和 .restoreserver 加密文件的扩展名 – CosmicBeetle 试图在不久前被 Spacecolon 破坏的机器上执行这些构建。 两个版本都遵循相同的文件命名模式——勒索软件运行为 %APPDATA%osk.exe 嵌入式 ClipBanker 为 %APPDATA%winupas.exe。 此命名对于 Spacecolon 来说特别重要，因为 ScHackTool 期望运行两个这样的命名进程。 假设此命名模式与 Spacecolon 密切相关，则 ESET 遥测显示的 Scarab 配置中超过 50% 可能与 Spacecolon 有关。 两个最终链接样本的勒索消息如下所示 数字 5 和 数字 6.

黑客工具

ScHackTool 是其操作员使用的主要 Spacecolon 组件。 它严重依赖其 GUI 和运营商的积极参与； 它允许他们精心策划攻击，根据需要向受感染的机器下载并执行他们认为合适的其他工具。

从这里开始，我们将按照 Delphi 编程语言定义的方式来引用多个 GUI 组件 – 标签, 文本框, 分组框等等。

SchHackTool 采用了一种巧妙的反仿真技巧。 执行时，会弹出一条假错误消息（请参阅 数字 7）。 如果单击“确定”按钮，ScHackTool 将终止。 需要双击“重新安装”一词中的“g”（以红色突出显示）才能实际显示主窗口。

在显示主窗口之前，ScHackTool 获取一个文本文件， 列表.txt，来自其 C&C 服务器。 该文件定义了哪些附加工具可用、它们的关联名称以及下载它们的 URL。 此类文件的示例如下所示 数字 8。 所有 Spacecolon 组件，包括 ScHackTool，都使用 知识产权工作室 网络通信库。

在解释解析这个文件的过程之前，我们先简单介绍一下ScHackTool的GUI。 它由三个主要选项卡组成（下载, 工具及 咪咪转储）和三个共享的底部面板。 自从 下载 选项卡由解析过程的结果填充，让我们首先介绍它和解析逻辑。

下载 标签

该选项卡由按钮填充，使操作员能够下载和执行其他工具。 所有这些工具均以受密码保护的 ZIP 存档形式提供（密码： ab1q2w3e！）。 全部下载到 。/压缩/ 并提取到 ./ /。 ScHackTool 不会删除下载的档案。

前面提到的定义了哪些附加工具可用 列表.txt 文件。 该文件的解析相当简单。 它是逐行读取的。 如果一条线看起来像 猫| （可能是“类别”的缩写），然后是一个新的 分组框中 命名 已创建，并且所有后续条目都与其关联。 同样，如果一条线看起来像 子| （可能是“子类别”的缩写），然后是一个新的水平 标签 命名 已添加到当前类别。

所有其他行均被视为实际条目。 该线被分割为 # 分为两个或三个项目：

1.      工具名称，

2.      用于检索该工具的 URL，以及

3.      可选后缀。

对于每个条目，都会创建一个标题为工具名称的按钮。 此外，如果可选后缀是 a 夹，一个名为 AC 被建造; 此按钮只是在工具的提取位置打开 Windows 资源管理器。

如果 列表.txt 文件不可用，恶意软件退出。 此外，如果 Spacecolon 操作员请求一个定义在 列表.txt，但在关联的 URL 上不可用，ScHackTool 进程会卡住并停止响应。

正如你所看到的 数字 9，为每个工具创建一个或两个按钮。 工具, 私人信息, RAAG及 其它 （以红色突出显示）代表类别，并且 嗅探器 和 利用 （以蓝色突出显示）是子类别。 所有可用附加工具及其描述的列表列于 附录 A – 攻击者使用的第三方工具.

工具标签

人们可能会热衷于认为这是主选项卡，但事实上不是。 令人惊讶的是，大多数按钮什么也不做（它们的相关按钮 的OnClick 函数为空）。 从历史上看，我们知道这些按钮确实有效，但随着时间的推移，它们的功能已被删除。 我们稍后将在博文中概述不再起作用的按钮。 数字 10 说明了 GUI 和 表 2 总结了工作按钮的功能。

表 2。 功能按钮列表 工具 标签

之前我们说过，部署的 Scarab 勒索软件及其关联的 ClipBanker 被命名为 osk.exe 和 执行程序。 从中可以明显看出 表 2，两个关联的按钮可用于终止这些进程。

当 ScHackTool 启动时，粉色突出显示的区域将被填充。 但是，没有检索到实际的机器信息； 空格号操作员需要手动填写。

MIMI 转储选项卡

此选项卡中的功能曾经是 工具 选项卡，但最终被移至单独的选项卡。 再次，某些按钮不起作用。 UI 如下所示 数字 11及 表 3 总结了工作按钮的功能。

表 3。 功能按钮列表 咪咪转储 标签

该选项卡的名称表明它与臭名昭著的密码和凭据提取工具 Mimikatz 密切相关，但事实上并非如此。 虽然文件 被发送回 Spacecolon C&C 被命名为建议 LSASS.EXE dump，该文件必须由操作人员手动创建，可以是任意文件。 同样，除非运营商复制，否则下载的用户名和密码不会以任何方式使用。

然而，米米卡兹 is Spacecolon 提供的附加工具集的一部分（请参阅 附录 A – 攻击者使用的第三方工具).

底面板

底部面板由所有三个选项卡共享，允许 CosmicBeetle 安排系统重新启动、从系统中删除 Spacecolon 并访问 PortableApps，附加工具之一。 这 下载 和 压缩 进度条分别对应下载和工具存档提取进度。 按钮功能的概述见 表 4.

表 4。 底部面板中三个选项卡共享的按钮列表及其功能

字符串加密

ScHackTool 使用简单的算法加密字符串 - 我们提供了用 Python 实现的解密例程 数字 13。 并非所有字符串都经过加密，但在较新的版本中，受保护字符串的数量会增加。

def decrypt_string(s: str, key: str) -> str: dec = "" for b in bytearray.fromhex(s): dec += chr(b ^ (key >> 8)) key = (0xD201 * (b + key) + 0x7F6A) & 0xFFFF return dec

数字 13。 SCHackTool 字符串的字符串解密例程

 

SchHackTool 按钮 – 时光倒流

ScHackTool 绝对是变化最多的组件。 我们能够找到的最古老的版本是 2020 年的，并且使用 TicsDropbox 用于与其 C&C 服务器通信。 那时，密码保护机制代替了虚假的错误消息（参见 数字 14）已就位（密码： dd1q2w3e).

奇怪的是，在每个新版本中，一些按钮停止工作（它们的代码被完全删除）。 通过查看这些旧版本，我们可以了解不再起作用的按钮的功能，这些按钮在 表 5.

表 5。 基于对旧版本的分析的按钮功能列表

安装程序

ScInstaller 是一个非常小的 Delphi 工具，旨在执行单一任务：安装 ScService。 ScService存储在ScInstaller的 .rsrc 部分，使用从密码派生的密钥通过 AES 算法进行加密 TFormDropbox.btnUploadClick.

ScInstaller 是攻击者可能使用或不使用的附加工具的一部分，特别是名为 留学招生代理 （见 附录 A – 攻击者使用的第三方工具）。 尽管观察到的最新版本来自 2021 年，但在撰写本文时该版本仍然是工具集的一部分。 然而，我们观察到通过 Impacket 手动安装的 ScService，并且虽然我们观察到了 ScService 的新版本，但我们没有看到 ScInstaller 的新版本。 这可能表明 ScInstaller 不再被积极使用。

ScInstaller 的早期变体只是在执行时安装并运行 ScService。 最新的变体带有 GUI（请参阅 数字 15）。 仅当满足以下条件时才安装 ScService Install 安装 按钮被点击。

它们还带有一些附加功能。 这 单向阀 底部的按钮验证是否安装了 ScService 并检索服务状态。 这 单向阀 左上角的按钮用于检查与四个硬编码 C&C 服务器的连接（不交换实际数据）。 ScInstaller 还将其自己的 TLS 证书放入名为的 PFX 文件中 证书.pfx or CDN.pfx 并受密码保护 dd1q2w3e。 连接到 C&C 服务器时使用此证书。

文本框 标记 强化IP 和 不 用于创建一个包含两个条目的小型 INI 文件 – 时间 和 备注，分别由这两个值填充。 该 INI 文件仅被 CosmicBeetle 用于存储有关受害者的自定义注释。 它在下一节中描述的 C&C 通信中起着次要作用。

服务中心

2023 年 XNUMX 月，可能是 Zaufana Trzecia Strona 的结果 根据 2023 年 2023 月上旬发布的分析，ScService 经历了显着的发展变化。 我们先看看它的早期版本，然后讨论 XNUMX 年的变化。

ScService，顾名思义，是一个作为 Windows 服务运行的组件，充当简单的后门。 服务参数如图 表 6。 服务描述取自官方正版Windows 传感器监控服务.

表 6。 服务参数

与 ScInstaller 一样，ScService 也会删除一个自定义 TLS 证书，与 ScInstaller 使用的证书相同。 如果 INI 文件（由 ScInstaller 创建）不存在，则会创建一个具有空值的文件。

启动后，ScService 会创建三个计时器，每个计时器：

1.      发送一个 KEEP 每 10 秒向 C&C 服务器发送一条消息，

2.      通过执行每五个小时刷新一次 DNS 缓存 IPCONFIG / FLUSHDNS的及

3.      每五分钟连接一次 C&C 服务器。

数字 16 演示在建立与 C&C 服务器的连接时如何使用自定义证书。 ScService 使用多个 C&C 服务器，所有服务器均在二进制文件中进行硬编码和加密。

除了建立 TLS 连接之外，ScService 还通过端口 443 上的 TCP 与 C&C 服务器进行通信。该协议非常简单； 不使用额外的加密。 一旦 ScService 接收到数据，它就会扫描数据中已知的命令名称并执行任何此类命令，还可以选择发回响应。 ScService 可识别如下所示的六个命令 表 7。 命令名称及其参数由以下分隔 #。 简而言之，ScService 可以执行任意命令和可执行文件、打开和关闭 SSH 隧道、获取计算机信息以及更新 INI 文件。

表 7。 TCP/IP 命令能力

2023 年 XNUMX 月重新设计

正如我们已经暗示的那样，ScService 在 2023 年 XNUMX 月发生了显着变化。首先，服务参数略有变化，保持了类似的模式（请参阅 表 8).

表 8。 更新了 ScService 参数

获取受损机器信息的方式发生了变化。 ScService 在端口 8347 上运行本地 HTTP 服务器，接受单个请求 – /地位。 ScService 然后向服务器发出此请求。 该请求的处理很简单：它检索机器信息并将其作为 HTTP 响应的内容返回。 数据的格式可以存储在 INI 文件中 - 这正是发生的情况：ScService 将内容存储到其 INI 文件中。 收集到的信息是：

·      OS = 操作系统名称

·      CN = 计算机名称

·      DO = 用户域

·      LIP = 本地 IP 地址

许多（不是全部）字符串现在都使用加密 此 AES-CBC 算法 a 密钥源自 此 密码 6e4867bb3b5fb30a9f23c696fd1ebb5b.

C&C 协议发生了变化。 有趣的是， 原版的 C&C 通信协议仍然实施，但仅在收到指令时使用 联系 命令（见下文）与目标进行通信。 新的 主 C&C 协议使用 HTTP 而不是 TCP。 使用以下 HTTP 标头：

·      用户代理 = Mozilla / 5.0（Windows NT 6.1; WOW64; rv：41.0）Gecko / 20100101 Firefox / 41.0

·      UNID = MAC 地址的十六进制 MD5 哈希值和 C: 驱动器序列号

另外，a 时间 添加cookie，其值是之前收集的机器信息，存储为 OS, CN, DO及 LIP，加入者 # 并通过base64编码。

命令采用 JSON 格式（请参阅 数字 下面的17).

{ “Status”: “TASK”, “CMD”: “<COMMAND_NAME>”, “Params”: “<COMMAND_PARAMS_STR>”, “TaskID”: “<TASK_ID>”
}

数字 17。 JSON 格式的命令示例

Status 场总是等于 TASK，而 CMD 和 PARAMS 字段定义命令名称和参数。 最后， 任务ID value 用于将任务结果（如果有）发送到 C&C 服务器。 支持的命令列于 表 9.

表 9。 HTTP(S) 命令 ScService 的功能

结论

在这篇博文中，我们分析了 Spacecolon，这是一个小型 Delphi 工具集，用于将 Scarab 勒索软件推送到易受攻击的服务器及其操作者（我们称为 CosmicBeetle）。 此外，Spacecolon 还可以为其操作员提供后门访问。

CosmicBeetle 并没有付出太多努力来隐藏其恶意软件，而是在受感染的系统上留下了大量的痕迹。 很少甚至没有实施反分析或反仿真技术。 ScHackTool 严重依赖其 GUI，但同时包含几个无功能的按钮。 CosmicBeetle 操作员主要使用 ScHackTool 将选择的其他工具下载到受感染的机器上，并按照他们认为合适的方式运行它们。

Spacecolon 至少自 2020 年以来一直在积极使用，并且正在持续开发中。 我们相信，在 Zaufana Trzecia Strona 事件之后，作者在 2023 年做出了巨大努力，试图逃避检测。 出版物出来了。

CosmicBeetle 不选择目标； 相反，它会发现缺少关键安全更新的服务器，并利用这一点来发挥其优势。

在发布时，我们观察到一个新的勒索软件家族，我们将其命名为 ScRansom，它很可能是由 Spacecolon 组件的开发人员编写的。 截至撰写本文时，我们尚未看到 ScRansom 被部署在野外。

如果对我们在 WeLiveSecurity 上发表的研究有任何疑问，请通过以下方式联系我们 威胁intel@eset.com.
ESET Research 提供私人 APT 情报报告和数据源。 有关此服务的任何查询，请访问 ESET 威胁情报 页面上发布服务提醒。

国际石油公司

档

商业网络

Spacecolon 通常安装的路径

·      %USERPROFILE%音乐

·      %所有用户配置文件%

CosmicBeetle 设置的自定义帐户名称

·      SUPPORT

·      IIS的

·      IWAM_USR

·      BK$

Scarab 勒索软件创建的互斥锁

·      {46E4D4E6-8B81-84CA-93DA-BB29377B2AC0}

·      {7F57FB1B-3D23-F225-D2E8-FD6FCF7731DC}

斜接 技术

附录 A – 攻击者使用的第三方工具

下表中的工具按名称排序。 “工具名称”列对应于威胁参与者分配给工具存档的名称，“存档路径”列列出了工具存档在 C&C 服务器上的相对路径。 最后“工具名称”设置为“N/A”的工具指的是 C&C 服务器上存在的工具，但 CosmicBeetle 在我们已知的任何配置中都没有使用过。 最后，一些工具似乎不再出现在 C&C 服务器上，尽管 ScHackTool 中仍然存在请求它们的按钮 - 这通过“注释”列设置为“N/A”反映出来。

附录 B – 终止的进程和服务列表

AcronisAgent
AcrSch2Svc
Apache2
avpsus
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDiveciMediaService
BackupExecJobEngine
BackupExecManagementService
BackupExecRPCService
BackupExecVSSProvider
bes10*
black*
BMR Boot Service
CAARCUpdateSvc
CASAD2DWebSvc
ccEvtMgr
ccSetMgr
DefWatch
fbgu*
fdlauncher*
firebird*
firebirdguardiandefaultinstance
IBM Domino Diagnostics (CProgramFilesIBMDomino)
IBM Domino Server (CProgramFilesIBMDominodata)
IBM*
ibmiasrw
IISADMIN
Intuit.QuickBooks.FCS
McAfeeDLPAgentService
mfewc
mr2kserv
MsDtsServer110
MsDtsSrvr*
MSExchangeADTopology
MSExchangeFBA
MSExchangeIS
MSExchangeSA
msmdsrv*
MSSQL$ISARS
MSSQL$MSFW
MSSQLFDLauncher
MSSQLServerADHelper100
MSSQLServerOLAPService
MySQL
mysql*
mysqld.exe
NetBackup BMR MTFTP Service
orac*
PDVFSService
postg*
QBCFMonitorService
QBFCService
QBIDPService
QBPOSDBServiceV12
QBVSS
QuickBooksDB1
QuickBooksDB10
QuickBooksDB11
QuickBooksDB12
QuickBooksDB13
QuickBooksDB14
QuickBooksDB15
QuickBooksDB16
QuickBooksDB17
QuickBooksDB18
QuickBooksDB19
QuickBooksDB2
QuickBooksDB20
QuickBooksDB21
QuickBooksDB22
QuickBooksDB23
QuickBooksDB24
QuickBooksDB25
QuickBooksDB3
QuickBooksDB4
QuickBooksDB5
QuickBooksDB6
QuickBooksDB7
QuickBooksDB8
QuickBooksDB9
ReportingServicesService*
ReportServer
ReportServer$ISARS
RTVscan
sage*
SavRoam
ShadowProtectSvc
Simply Accounting Database Connection Manager
sophos
SPAdminV4
SPSearch4
SPTimerV4
SPTraceV4
SPUserCodeV4
SPWriterV4
sql
SQL Backup Master
SQL Server (MSSQLServer)
SQL Server Agent (MSSQLServer)
SQL Server Analysis Services (MSSQLServer)
SQL Server Browser
SQL Server FullText Search (MSSQLServer)
SQL Server Integration Services
SQL Server Reporting Services (MSSQLServer)
sql*
SQLAgent$ISARS
SQLAgent$MSFW
SQLAGENT90.EXE
SQLBrowser
sqlbrowser.exe
sqlservr.exe
SQLWriter
sqlwriter.exe
stc_raw_agent
store.exe
vee*
veeam
VeeamDeploymentService
VeeamNFSSvc
VeeamTransportSvc
VSNAPVSS
WinDefend
YooBackup
YooIT
Zhudongfangyu

附录 C – 通过“全部终止”（默认）按钮终止的进程

曾经被终止的进程的名称 全部杀死（默认） 按钮：

app.exe
ApplicationFrameHost.exe
blnsvr.exe
cmd.exe
conhost.exe
csrss.exe
dllhost.exe
dwm.exe
explorer.exe
LogonUI.exe
lsass.exe
msdtc.exe
openvpn-gui.exe
Project1.exe
rdpclip.exe
RuntimeBroker.exe
SearchUI.exe
services.exe
ShellExperienceHost.exe
sihost.exe
smss.exe
spoolsv.exe
svchost.exe
taskhost.exe
taskhostex.exe
taskhostw.exe
tasklist.exe
Taskmgr.exe
vmcompute.exe
vmms.exe
w3wp.exe
wininit.exe
winlogon.exe
wlms.exe
WmiPrvSE.exe

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 汽车/电动汽车， 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
• 块偏移量。 现代化环境抵消所有权。 访问这里。
• Sumber: https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers/