BoomBox
Techniques Used |
||||
| Domain | ID | Name | Use | |
|---|---|---|---|---|
| Enterprise | T1087 | .002 | Account Discovery: Domain Account |
BoomBox has the ability to execute an LDAP query to enumerate the distinguished name, SAM account name, and display name for all domain users.(Citation: MSTIC Nobelium Toolset May 2021) |
| .003 | Account Discovery: Email Account |
BoomBox can execute an LDAP query to discover e-mail accounts for domain users.(Citation: MSTIC Nobelium Toolset May 2021) |
||
| Enterprise | T1071 | .001 | Application Layer Protocol: Web Protocols |
BoomBox has used HTTP POST requests for C2.(Citation: MSTIC Nobelium Toolset May 2021) |
| Enterprise | T1547 | .001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
BoomBox can establish persistence by writing the Registry value |
| Enterprise | T1567 | .002 | Exfiltration Over Web Service: Exfiltration to Cloud Storage |
BoomBox can upload data to dedicated per-victim folders in Dropbox.(Citation: MSTIC Nobelium Toolset May 2021) |
| Enterprise | T1218 | .011 | System Binary Proxy Execution: Rundll32 |
BoomBox can use RunDLL32 for execution.(Citation: MSTIC Nobelium Toolset May 2021) |
| Enterprise | T1204 | .002 | User Execution: Malicious File |
BoomBox has gained execution through user interaction with a malicious file.(Citation: MSTIC Nobelium Toolset May 2021) |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.