资安业者卡巴斯基而对于这些骇客的入侵手段,研究人员指出通常是利用Exchange漏洞ProxyLogon来取得初始权限,但也有利用其他漏洞的情况。一旦成功,对方就会执行批次档启动整个恶意软体感染流程。
这些骇客执行批次档的方式,主要是透过名为WMIExec的命令列工具来进行。该工具属于Impacket渗透测试套件的一部分,主要用途是借由WMI在远端Windows电脑执行命令。而Impacket工具包是以Python打造而成,通常被用于了解程式构造或是操控网路协定。
当批次档开始执行,就会进行部署恶意软体及设置能维持在受害电脑运作的工作。他们先是下载CAB档并利用内建的公用程式expand.exe解开作案工具,其中包含恶意DLL档案Prints1m.dll、PowerShell指令码,以及用来产生AES解密金钥、解出经过AES演算法处理的Shell Code的登录档。
接著,此批次档便会在电脑下达汇入上述两个登录档,然后执行经过加密处理的PowerShell指令码,这个指令码内含经加密处理的储存桶(blob),一旦解开,电脑就会再执行另一个PowerShell指令码。
这个新的指令码会建置名为WdiSystem服务,内含svchost.exe的PowerShell命令,目的是载入恶意DLL档案,同时,还会建立新的服务群组WdiSystemhost,用来执行恶意服务。攻击者在执行恶意服务的过程中,他们会试图让恶意软体看起来像执行Windows系统服务,而这么做其实是模仿正牌的系统服务名称「WdiSystemHost(Windows Diagnostic System Host)」。
当电脑根据骇客上述设置的方法载入恶意DLL档案,该程式库会侦测作业系统内部的处理程序执行架构Process Environment Block,动态载入需要的功能。