Selles sarja osas tutvustame Grandoreirod, Ladina-Ameerika pangandustroojalast, mis sihib Brasiiliat, Mehhikot, Hispaaniat ja Peruud. Selle autorid näevad erakordset vaeva, et tuvastamist ja emuleerimist vältida ning liikuda modulaarse arhitektuuri poole.
Oleme näinud, et Grandoreirot levitatakse ainult spämmi teel. Autorid kasutavad tavaliselt võltsitud Java või Flashi uuendust, kuid hiljuti, üllatuslikult, oleme märganud, et nende spämmi kasutab ära ka COVID-19 ümber levivat hirmu.
Nimetasime selle pahavara perekonnanime selle kõige silmapaistvama omaduse järgi – selle binaarfailid on paisunud vähemalt mõnesaja megabaidini. Selle arendus on üsna kiire ning funktsioonide muudatused ja lisandused toimuvad väga sageli. Selles blogipostituses keskendume kõige tähelepanuväärsematele.
Omadused
Grandoreiro on veel üks Delphi-keeles kirjutatud Ladina-Ameerika pangandustroojalane, mille tuvastasime oma uurimistöö käigus. Grandoreiro on olnud aktiivne vähemalt alates 2017. aastast, sihtides Brasiiliat ja Peruud, laienedes 2019. aastal Mehhikosse ja Hispaaniasse (vt joonis 1 praeguse tuvastuste soojuskaardi kohta). See, et see ründab oma ohvreid võltsakende kuvamisega, mis üritavad ohvreid veenda tundlikku teavet avaldama, ei tohiks üllatada kedagi, kes on lugenud sarja varasemaid osi.
.
Joonis 1. Soojuskaart, mis näitab ESET-i Grandoreiro tuvastusi.
Grandoreiro, nagu iga teine Ladina-Ameerika pangandustroojalane, kasutab backdoor funktsionaalsust, olles võimeline:
- akende manipuleerimiseks
- enesevärskendamiseks
- klahvivajutuste salvestamiseks
- hiire- ja klaviatuuritoimingute simuleerimiseks
- ohvri brauseri navigeerimiseks valitud URL-ile
- ohvri väljalogimiseks või masina taaskäivitamiseks
- ligipääsu blokeerimiseks valitud veebisaitidele
Püsivus tagatakse .LNK faili loomisega Windowsi käivituskausta. Oluline on see, et Grandoreiro kasutab oma sisemiste stringide dekrüpteerimiseks sama algoritmi kui Casbaneiro. Usume, et see on tingitud Ladina-Ameerika pangandustroojalaste autorite vahelisest teabevahetusest.
Grandoreiro kogub järgmist teavet oma ohvrite kohta:
- arvuti nimi
- kasutajanimi
- operatsioonisüsteemi versioon ja bitisus
- kas Diebold Warsaw GAS Tecnologia (Brasiilias populaarne rakendus veebipangandusele ligipääsu kaitsmiseks) on installitud
- installitud turvatoodete loend
Mõnes versioonis varastab see ka Google Chrome’i veebibrauserisse salvestatud mandaate ja Microsoft Outlooki salvestatud andmeid.
Grandoreiro autorid näivad pangandustroojalast väga kiiresti arendavat, kuna märkame igas kuus vähemalt mitut uut versiooni. Samuti kahtlustame, et nad arendavad korraga vähemalt kahte varianti.
Autorid näivad keskenduvat peamiselt kahele alale. Esimene on tegeliku C&C aadressi peitmine, kasutades järgmises jaotises kirjeldatud domeeni genereerimise algoritmi (DGA). Teine on pangandustroojalase modulaarseks muutmine. See on huvitav lähenemine, kuna autorid tutvustasid esmalt iga sihitava panga jaoks eraldi Delphi vorme (mis on üsna tavaline), kuid hiljuti lõid nad isegi iga sihitava panga jaoks eraldi DLL-id. Me pole seda lähenemist näinud üheski teises analüüsitud Ladina-Ameerika pangandustroojalases.
DGA
Grandoreiro DGA kasutab binaarfaili ja kohaliku kuupäeva sisenditena kahte stringi (prefix ja suffix), mis on kõvasti kodeeritud. Neid väärtusi töödeldakse lihtsa algoritmiga, mille tulemuseks on vorming https://sites.google[.]com/view/%DATA%, kus %DATA% on genereeritud string (joonisel 2 on pseudokood). C&C domeen ja port on saidi pealkirjaks, nagu näete joonisel 3. Pange tähele, et DGA põhjal on iga päeva jaoks vaja erinevat veebisaiti. Oleme märganud, et mõned variandid kasutavad ka kohandatud base64 tähestikku.
def dga(prefix, suffix): ts = get_current_time() mid_data = "%02d/%02d/%04d" % (ts.day, ts.month, ts.year) mid_data = b64encode(mid_data) mid_data = mid_data.replace("==", "") return "https://sites.google.com/view/" + prefix + mid_data + suffixJoonis 2. Grandoreiro DGA pseudokood
Joonis 3. Näide Grandoreiro autorite loodud Google’i saidist (tõlge: „Sinu lehe pealkiri“)
Konfiguratsiooniandmed
Grandoreiro vanemates versioonides oli pangandustroojalase kõrval väike .ini fail, mis toimis primitiivse konfiguratsioonifailina, sisaldades ainult versiooniidentifikaatorit ja indeksi binaarfaili tabelis, mis määras, millist C&C serverit kasutada.
Hiljuti on konfiguratsioonimehhanism muutunud ja seda salvestatakse nüüd Windowsi registris aadressil HKCUSoftware võtmete all, mille nimed on näiteks %USERNAME% ja ToolTech-RM. Need nimed, samuti nende sisaldavate väärtuste nimed, muutuvad sageli, kuid sisaldav teave koosneb:
- iga ohvri jaoks unikaalne identifikaator (genereeritud CoCreateGuid API abil)
- teostusfaili nimi ja tee
- ohvri geograafiline asukoht (saadud http://ipinfo.io/json kaudu)
- käivitusfaili .LNK loomiseks ja kustutamiseks vajalikud stringid
- ohvri seadmega seotud märkused (C&C operaator esitab need, kui need on olemas, backdoor käsu kaudu)
- lipud, mis näitavad, et toiming on juba tehtud, näiteks
- Google Chrome’i salvestatud mandaatide varastamine
- Outlooki andmete varastamine
C&C side
Grandoreiro rakendab suhtlust oma C&C serveriga, kasutades RealThinClient SDK-d. See komponent kasutab protokolli, mis töötab üle HTTP. Pärast serveriga ühenduse loomist teostab Grandoreiro käepigistuse ja seejärel kontrollib perioodiliselt käske iga paari sekundi tagant. Kui troojalane jätab kontrolli vahele, katkestab server ühenduse.
Nagu kirjeldasime oma Botconf ettekandes detsembris 2019 ja nagu hiljuti teatas SonicWall, on C&C serverilt saadud esimese käsu kohta väga huvitav asi. See on alati kõigi praegu ühendatud ohvrite loend, sealhulgas kogu kogutud teave nende masinate kohta, nagu näete joonisel 4. Pange tähele, et mitte kõik ohvrid pole tuvastatud sama formaadiga stringiga. Grandoreiro kiire arengu tõttu muutub see string üsna sageli, kuid erinevate variantidega nakatunud ohvrid ühenduvad endiselt sama C&C serveriga.
Joonis 4. C&C server vastab Grandoreiro esialgsele ühendusele praeguste ühendatud ohvrite loendiga.
Levitamine
Spämm näib olevat Grandoreiro ainus levitusmeetod. Spämm-e-kirjad sisaldavad linki, mis suunab veebisaidile, mis pakub võltsitud Flashi või Java uuendusi (vt joonis 5). Märkige vasakpoolses alanurgas punane nool, mis on kohandatud Google Chrome’i veebibrauserile, kuid kuvatakse ka teistes brauserites. Oleme näinud, kuidas Grandoreiro ära kasutab praegust COVID-19 hirmu (vt joonis 6), nagu oleme juba oma @ESETresearch Twitteri kontol teatanud.
Joonis 5. Võltsitud Flashi (vasakul) ja Java (paremal) uuenduste veebisaidid (vasakpoolne ruut näitab, et kasutaja nõustub tingimustega; parempoolne tekst kutsub kasutajat üles installima uusima Java versiooni, et vältida turvalisuse ja haavatavuste probleeme)
Joonis 6. Võlts COVID-19 veebisait. Video klõpsimine viib ZIP-arhiivi allalaadimisele (tõlge: „2 haigla ehitus 7 päevaga: kiirendatud video näitab haigla ehitust Hiinas 7 päevaga“)
Erinevalt enamikust Ladina-Ameerika pangandustroojalastest kasutab Grandoreiro üsna lühikesi levikuahelaid. Erinevate kampaaniate jaoks võib see valida erineva tüüpi allalaadija, nagu illustreerime joonisel 7. Need allalaadijad on sageli salvestatud tuntud avalikele veebipõhistele jagamisteenustele, nagu GitHub, Dropbox, Pastebin, 4shared ja 4Sync.
Joonis 7. Võimalikud Grandoreiro levikuahelate ilmumisviisid (erinevad värvid näitavad erinevaid teid, mida ahel võib võtta). Lõplik ZIP-arhiiv võib olla krüpteeritud ja mõnel juhul ka parooliga kaitstud.
Lõplik payload on ZIP-arhiiv, mis on tavaliselt krüpteeritud joonisel 8 näidatud algoritmiga ja märkimisväärsel hulgal juhtudel nägime seda ka parooliga kaitstuna.
def decrypt_archive(data_enc, key): data_dec = list() for (i, c) in enumerate(data_enc): d = c ^ (~(key >> (i % 32))) & 0xFF data_dec.append(d) return data_decJoonis 8. Grandoreiro kasutatava arhiivi dekrüpteerimisalgoritmi pseudokood
Lõpliku payloadi levitamine ZIP-arhiivis on nende pangandustroojalaste seas väga levinud, kuid Grandoreiro puhul omandab see lisatähenduse, nagu näete järgmises jaotises.
Binaarfaili täitmine
Enamik Grandoreiro näidiseid kasutab väga huvitavat rakendust binary padding tehnikast, mida tuntakse ka binaarfaili täitmise tehnikana. See tehnika seisneb binaarfailide suureks muutmisel ja oleme näinud seda kasutamas isegi keerukamate pahavarate poolt. Oleme märganud ka mõningate teiste Ladina-Ameerika pangandustroojalaste poolt seda aeg-ajalt kasutatavat, kuid ainult kõige lihtsamal kujul, lisades suure hulga rämpsu binaarfaili lõppu.
Grandoreiro valib teise lähenemisviisi – lihtsa, kuid väga tõhusa. PE-faili ressursside jaotist täiendatakse (tavaliselt 3) grande BMP-pildiga, muutes iga binaarfaili suuruseks vähemalt 300 MB. Märkige joonisel 9, et kogu EXE faili suurus on 425 MB, samas kui koodi suurus on vaid 4 MB ja .rsrc jaotise suurus 419 MB (98,5% kogusuurusest). Pärast .rsrc jaotise sisu uurimist näeme kolme pilti, mille suurused on vastavalt 112 MB, 112 MB ja 105 MB (võttes 78,5% jaotise suurusest). Pakume näiteid sellistest piltidest joonisel 10.
Joonis 9. Grandoreiro binaarfaili üksikasjad. Vasakpoolsel pildil on näidatud mitu Grandoreiro näidist. Ülejäänud näitavad ühe sellise binaarfaili üksikasju.
Joonis 10. Grandoreiro poolt binaarfaili täitmiseks kasutatavad BMP-pildid. Nende kunstiline „stiil“ viitab sellele, et pahavara autorid loovad need käsitsi.
Kuna nende BMP-failide struktuur on selline, siis binaarfaili ZIP-arhiiviks pakkimine annab tulemuseks vaid mõne MB suuruse faili, muutes payloadi levitamise palju lihtsamaks. BMP-pildid näivad sageli muutuvat, tõenäoliselt tuvastamise vältimiseks. Joonisel 10 näidatud pildid pärinevad kolmest erinevast Grandoreiro versioonist. Nähtavad sarnasused panevad meid uskuma, et autorid uuendavad pilte käsitsi.
Vaatame selle tehnika võimalikke tulemusi, sest kuigi see on väga lihtne, on see üllatavalt tõhus. VirusTotali üleslaaditava faili suuruse piirangut muudeti 2019. aastal 550 MB-ni, kuid varem oli see 256 MB, nii et ohver ei saanud faili selle platvormi kaudu skannida. Sellise tohutu failiga töötamine on üldiselt raskem, muutes mis tahes automaatse või käsitsi analüüsi palju aeglasemaks. Samal ajal on väga raske neist suurtest piltidest lahti saada, säilitades samal ajal kehtiva PE-faili, ja kogu .rsrc jaotise ära viskamisel kaovad huvitavad andmed, nagu võltsaknad.
Enesekaitse ja anti-emulatsioon
Ladina-Ameerika pangandustroojalase kohta kasutab Grandoreiro üllatavalt suurt hulka nippe tuvastamise ja emulatsiooni vältimiseks. Selles jaotises räägime kõige tähelepanuväärsematest, mis ilmnesid mitmes hiljutises analüüsitud versioonis.
Diebold Warsaw GAS Tecnologia ja Trusteer on tuntud pangandusele ligipääsu kaitsev tarkvara, mis on Ladina-Ameerikas populaarne. Iga meie sarjas seni kirjeldatud pangandustroojalane on rakendanud mingisugust kontrolli nende programmide suhtes. Grandoreiro pole erand, ta
- haagib kinni LdrLoadDll ja LoadLibrary(Ex) API-d, et takistada nende toodete DLL-ide laadimist
- kontrollib, kas mõni neist moodulitest on juba laaditud
- püüab nende töötavaid protsesse tappa (protsessinimede põhjal)
- blokeerib Diebold Warsawi tulemüüri tasemel
- püüab Trusteerit rikkuda, muutes selle failisüsteemi teed (vt joonis 11)
- muudab Trusteeri peamise binaarfaili ACL-e, käivitades selle käsu kaks korda:
- cacls %PROGRAM_DATA%; TrusteerRapportstoreextsRapportCerberusbaselineRapportGH.dll” /T /E /C /P user:perm
- kus user:perm on seatud Todos:N ja seejärel Everyone:N
Joonis 11. Lihtne BAT-skript, mida Grandoreiro kasutab Trusteeri failitee muutmiseks, lootes muuta selle käivitusvõimetuks
Lisaks sellele jälgib see ka haake oluliste funktsioonide küljes. Kui selline funktsioon algab 0xE9 (assembleri opcode jmp käsu jaoks), laadib troojalane funktsiooni uuesti vastavast raamatukogust. Akna- ja protsessinimede põhjal kontrollib see ka tööriistu nagu RegMon, RegShot, Wireshark ja Process Explorer. See püüab vältida silmastamist, kutsudes IsDebuggerPresent API-d ja seadistades haake SetWindowsHookEx kaudu, mis tagastab ERROR_ACCESS_DENIED
WH_DEBUG sündmusel.
Grandoreiro kasutab ka õiguste eskaleerimise tehnikat, mida kirjeldatakse üksikasjalikumalt siin. Meetod tugineb binaarfaili registreerimisele .MSC-failide vaikimisi käitlejana ja seejärel sellise faili käivitamisele. Seda tehes käivitatakse binaarfail kõrgendatud õigustega. See tehnika enam ei tööta parandatud süsteemides tänu 2017. aastal välja antud parandusele.
Lõpuks tuvastab Grandoreiro kaks virtuaalset keskkonda – VMWare spetsiaalse I/O pordi kaudu ja Virtual PC vpcext käsu kaudu. Mõlemad meetodid on üksikasjalikult kirjeldatud siin (tehnikad 1 ja 2).
Spämmi tööriist
Oma uurimise käigus avastasime Grandoreiro spämmi kampaaniate jaoks kasutatava tööriista. See ei ole tööriist, mis automaatselt registreerib suure hulga e-posti kontosid, nagu Amavaldo ja Casbaneiro puhul; seda kasutatakse tegelikult spämmi sõnumite loomiseks ja saatmiseks. Seda tehakse EASendMail SDK abil.
Lisaks oma peamisele eesmärgile seab tööriist püsivuse Windowsi registri Run võtme abil ja keelab UAC. Kõige tõenäolisem stsenaarium on see, et ründajad levitavad seda tööriista mõnedele ohvritele Grandoreiro kaudu.
Kaasas on väike backdoor komponent, mida kasutatakse konfiguratsioonifailide vastuvõtmiseks. Need failid määravad, millised e-kirjad välja näevad, millele need viitavad või kuhu neid saata. Tabelis 1 esitame täieliku loendi konfiguratsioonifailidest ja nende otstarbest.
Tabel 1. Grandoreiro spämmi tööriista kasutatavate konfiguratsioonifailide loend
| Failinimi | Otstarve | Kirjeldus |
|---|---|---|
| ID.txt | Puudub | Tundub, et seda ei kasutata spämmi-e-kirjade jaoks |
| html.txt | E-posti keha mall | E-posti keha mall (koos kohthoidjatega – need asendatakse teiste konfiguratsioonifailide väärtustega) |
| assunto.txt | Teema mall (assunto = teema) | Teema mall (sarnane html.txt-ga e-posti keha jaoks) |
| nomes.txt | Võltsnimede loend | Asendab mallides [NOME] kohthoidja |
| link.txt | Kuritahtlike URL-ide loend | E-post viitab ühele neist |
| lista.txt | Saajate loend | E-post saadetakse kõigile neile |
| login.txt | Kasutajanimede loend | Teave, mis on vajalik e-posti konto sisselogimiseks, mida kasutatakse e-kirjade saatmiseks |
| senha.txt | Paroolide loend | #rowspan# |
| smtp.txt | SMTP serveri aadress | #rowspan# |
Nagu näete, ei ole tööriist täielikult automatiseeritud, vaid tugineb täielikult konfiguratsiooniandmetele. See näitab madalamat keerukuse taset. Selle rakendamine näitab sarnasusi Grandoreiro pangandustroojalasega, mistõttu usume, et selle kirjutasid samad autorid.
Kokkuvõte
Selles sarja osas oleme keskendunud Grandoreirole, Ladina-Ameerika pangandustroojalasele, mis sihib Brasiiliat, Mehhikot, Hispaaniat ja Peruud. Oleme maininud selle tüübi pangandustroojalastele iseloomulikke aspekte, nagu Delphi keeles kirjutamine, backdoor funktsionaalsuse sisaldamine, Ladina-Ameerikale sihtimine ja võltsakende kasutamine oma ohvrite ründamiseks.
Grandoreiro uudne omadus on selle suur pingutus tuvastamise vältimiseks. See hõlmab paljusid tehnikaid pangandustarkvara tuvastamiseks või isegi keelamiseks. See kasutab ka väga spetsiifilist binary padding tehnika rakendamist, mida me pole varem näinud ja mis muudab täidise eemaldamise keeruliseks, säilitades samal ajal kehtiva faili.
Spämm näib olevat Grandoreiro eksklusiivne levitusmeetod. E-kirjad sisaldavad linki, mis suunab ohvrid operaatorite poolt loodud võltsveebisaitidele. Kuigi nad kasutavad tavaliselt lihtsaid mehhanisme, nagu võltsitud Flashi või Java uuendused, oleme näinud neid ka praegust COVID-19 hirmu ära kasutamas.
Grandoreiro näitab sarnasusi teiste selles sarjas varem kirjeldatud pangandustroojalastega, peamiselt Casbaneiroga, millega ta jagab stringide dekrüpteerimisalgoritmi.
Kõigi päringute korral võtke meiega ühendust aadressil threatintel@eset.com. Märgid ohust (IoC) on samuti leitavad meie GitHubi repositooriumist.
Märgid ohust (IoC)
Hashid
Grandoreiro pangandustroojalane
| SHA-1 | Kirjeldus | ESET tuvastuse nimi |
|---|---|---|
| 40FBC932BD45FEB3D2409B3A4C7029DDDE881389 | Grandoreiro vanem versioon (2017) | Win32/Spy.Grandoreiro.A |
| 7905DB9BBE2CB29519A5371B175551C6612255EF | Grandoreiro | Win32/Spy.Grandoreiro.AE |
| BD88A809B05168D6EFDBA4DC149653B0E1E1E448 | Grandoreiro | Win32/Spy.Grandoreiro.AJ |
Grandoreiro Win32 allalaadijad
| SHA-1 | Kirjeldus | ESET tuvastuse nimi |
|---|---|---|
| 7C2ED8B4AA65BEFCC229A36CE50539E9D6A70EE3 | Grandoreiro allalaadija | Win32/TrojanDownloader.Banload.YJR |
| 27A434D2EF4D1D021F283BCB93C6C7E50ACB8EA6 | Grandoreiro allalaadija | Win32/TrojanDownloader.Banload.YLZ |
| 28D58402393B6BCA73FF0EAC319226233181EDC9 | Grandoreiro allalaadija | Win32/TrojanDownloader.Banload.YJB |
| 42892DF64F00F4C091E1C02F74C2BB8BAD131FC5 | Grandoreiro allalaadija | Win32/TrojanDownloader.Banload.YMI |
Grandoreiro spämmi tööriist
| SHA-1 | Kirjeldus | ESET tuvastuse nimi |
|---|---|---|
| BCED5D138ACEADA1EF11BFD22C2D6359CDA183DB | Grandoreiro spämmi tööriist | Win32/Spy.Grandoreiro.AD |
Windowsi register
- HKCUSoftware%USER_NAME%
- HKCUSoftwareToolTech-RM
User-Agent
- h55u4u4u5uii5
Failinimed
- %INSTALL_DIR% *
- MDL_YEL_01.dll
- MDL_BLU_BR_02.dll
- MDL_SIC_BR_03.dll
- MDL_SANT_BR_04.dll
- MDL_ITA_BR_05.dll
- MDL_BRADA_BR_06.dll
- MDL_SICCB_BR_07.dll
- MDL_SAFRA_BR_08.dll
- MDL_ORIGI_BR_09.dll
- MDL_NORDES_BR_10.dll
- MDL_BANEST_BR_11.dll
- MDL_BANEZE_BR_12.dll
- MDL_AMAZON_BR_13.dll
- MDL_UNICRE_BR_14.dll
- MDL_BRB_BR_15.dll
- MDL_WUPDATE_BR_001.dll
* %INSTALL_DIR% on tee, kuhu Grandoreiro installitakse
MITRE ATT&CK tehnikad
| Taktika | ID | Nimi | Kirjeldus |
|---|---|---|---|
| Initial Access | T1192 | Spearphishing Link | Grandoreiro levikud algavad meililingiga, mis suunab võltsveebilehele. |
| Execution | T1106 | Execution through API | Grandoreiro käivitatakse kas WinExec või WScript.Shell.Exec API kaudu. |
| Persistence | T1060 | Registry Run Keys / Startup Folder | Grandoreiro tagab püsivuse, luues käivituskausta (startup folder) .LNK faili. |
| Privilege Escalation | T1088 | Bypass User Account Control | Grandoreiro möödub UAC-st, registreerides end .MSC failide vaikimisi käitlejaks. |
| Defense Evasion | T1009 | Binary Padding | Grandoreiro lisab oma .rsrc jaotisesse suuri BMP-faile, et muuta binaarfailid palju suuremaks. |
| T1089 | Disabling Security Tools | Grandoreiro üritab keelata Diebold Warsaw ja Trusteer panganduse kaitsetarkvara. | |
| T1140 | Deobfuscate/Decode Files or Information | Grandoreiro levitatakse ZIP-arhiivis, mida tavaliselt tuleb dekrüpteerida. | |
| T1222 | File and Directory Permissions Modification | Grandoreiro muudab Trusteeri ACL-i, et see keelata. | |
| T1036 | Masquerading | Grandoreiro levitajad varjavad end võltside uuenduste installifailidena. | |
| T1112 | Modify Registry | Grandoreiro salvestab oma konfiguratsiooni Windowsi registrisse. | |
| T1064 | Scripting | Grandoreiro kasutab mõnes oma levitusahela etapis VBScripti. | |
| T1497 | Virtualization/Sandbox Evasion | Grandoreiro tuvastab VMWare ja Virtual PC. | |
| Credential Access | T1503 | Credentials from Web Browsers | Grandoreiro varastab Google Chrome’i brauserist paroole. |
| T1081 | Credentials in Files | Grandoreiro töötleb Outlooki .pst faile, et saada kätte e-posti aadresse. | |
| Discovery | T1010 | Application Window Discovery | Grandoreiro tuvastab erinevaid turvatööriistu akende nimede põhjal. |
| T1083 | File and Directory Discovery | Grandoreiro tuvastab kaitsetarkvara failisüsteemi teekondade põhjal. | |
| T1057 | Process Discovery | Grandoreiro tuvastab turvatööriistu protsesside nimede põhjal. | |
| T1063 | Security Software Discovery | Grandoreiro tuvastab panganduse kaitsetoodete olemasolu. | |
| T1082 | System Information Discovery | Grandoreiro kogub infot ohvri arvuti kohta, nagu näiteks %USERNAME%, %COMPUTERNAME% ja tootenimed. | |
| Collection | T1056 | Input Capture | Grandoreiro suudab salvestada klahvivajutusi. |
| Command and Control | T1483 | Domain Generation Algorithms | Grandoreiro genereerib oma C&C aadressi DGA abil. |
| T1071 | Standard Application Layer Protocol | Grandoreiro võrguprotokoll on implementeeritud RealThinClient poolt, mis töötab HTTP üle. | |
| Exfiltration | T1041 | Exfiltration Over Command and Control Channel | Grandoreiro saadab kogutud andmed oma C&C serverisse. |
