偶然的CobaltStrike木马钓鱼邮件分析
2023-6-14 08:33:42 Author: 潇湘信安(查看原文) 阅读量:21 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

0x00 前言

前几天看到一篇关于近期钓鱼邮件的情况统计的文章,挺有意思。大量包含CobaltStrike木马的邮件袭来,如何一招甄别?
然后在逛某威胁情报社区的时候,看到了一个恶意url,也挺有意思
子域名伪装成某安全公司hhh,然后看了下与之有关的通信样本

好家伙全是钓鱼文件,免杀做的还不错,最近几天不知道为什么异常频繁。

于是就点进去几个看了看,分析分析这种是怎么实现cs上线的(纯小白,勿喷)

下面所有分析均为在线沙箱进行测试的结果,没接触过二进制方向,电脑上没有相关工具……

0x01 简历钓鱼

先看到的是一个北京大学的简历,现在是已经被定义为恶意了,并且被标记为CobaltStrike木马

样本的hash值放下面了,大家也可以自己去看一下

SHA256:b7ff62f3bf717ea0fa6a0b423c77969eb93a4b0fdf9ba3bd3d655ff7249ed9d2MD5:13ac80870f36b12e7e67a433dcb6fb25SHA1:5b47e0ca06c4b40ac947e01b5c2cc6af2da2942b

0x02 CS场景检测

先看一下沙箱的CS场景检测的结果
在静态检测的结果里面,是匹配到了三条CobaltStrike的Yara规则。

YARA规则是VT发布的,用于样本的批量检索和查杀,目前很多知名软件也使用YARA。其中YARA规则常以hash(文件的hash或导入表之类的hash)、PE头、pdb、全局字符串、互斥体、特定的函数等信息作为特征。

详细的Yara规则,可以见这篇文章

https://blog.csdn.net/qq_36090437/article/details/79911375

在这个钓鱼邮件的网络行为结果中,是检测到了攻击者使用了域前置方法,来隐藏了自己的真实ip

找到了与隐藏IP同CDN下的一个网站(chaitin.cn) 作为host (相关URL) 搜了下是某亭hhh

域前置

域前置是一个隐藏连接真实断点来逃避追查的方法。

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输,现在在https的协议中,HHTP层里面写A站点,但是在TLS层的SNI主机写B站点,暴露在外面的是B站点。

简单来说,正常请求一个网址的真实ip为,向该站点的CDN请求其IP。

使用了域前置方法的请求流程为,向A站点的CDN服务器请求B站点的IP (B站点写在http层,由tls包裹,请求的CDN是A的CDN,在CDN上就是请求B站点的IP)

就是到TLS上写的站点的CDN服务器,请求最里层写的网站的IP

下面一张图片很好的解释了域前置的效果

详细的域前置知识,以及如何实现Cobalt Strike隐藏真实ip上线powershell见这篇文章:

https://blog.csdn.net/weixin_44604541/article/details/118413649

而一开始发现的网站,也正是一个腾讯云的CDN:*.cdn.dnsv1.com搜索该后缀即可发现为腾讯云CDN的后缀

0x03 行为检测

在行为检测分析结果中,主要来看高危和可疑的几个行为;在恶意行为特征中,命中了三条CobaltStrike的相关Yara规则,证实了为CobaltStrike的木马

在系统敏感操作中,创建了一个执行whoami的cmd进程(名字叫360sd.exe);

启动了两个进程,除了创建的360sd.exe,还用微软的PDF阅读器打开了真正的简历文件
acrord32.exe是Adobe Acrobat Reader阅读器的一部分,该进程用于打开和察看PDF文档。
在可疑行为中,可以看到创建了shell,使用域前置通信等等,除了这些,还发现了进行了改变文件属性的操作

0x04 多引擎检测

可以看出这个师傅的免杀做的还是很好的,dlddw

0x05 动态分析

下面为在真实环境中运行的动态分析

进程详情

可以看到它一共的13个进程,下面来挨个看一下大致都执行了什么操作
1. 首先第一阶段是启动简历的快捷方式2. 第二个为执行__MACOSX.DOCX\1.bat文件3. 第三个阶段为复制文件,将解压文件夹下的wda.tmp、mbp.tmp两个复制至C:\Users\Public目录下\4. 第四阶段为改变文件的属性 (不明白为什么用-,不应该是+隐藏属性吗?)5. 第五阶段为释放了一个新进程,并执行了whoami命令6. 第六阶段为使用系统自带的pdf阅读器打开简历pdf文件

网络行为

捕捉到的域名和IP基本上都是CDN的地址,并不是攻击者的真实ip,还是被他逃掉了,可恶

释放文件

在这里是可以看到释放了两个文件,并移动至了C盘下

0x06 处置建议

该文件为恶意文件,请您立即删除或隔离此文件。如果已在您的主机运行,建议您进行如下操作:

删除下面两个文件

C:\Users\Public\wda.tmpC:\Users\Public\mbp.tmp
文章来源:CSDN博客(sec0nd_)原文地址:https://blog.csdn.net/weixin_52444045/article/details/126124857

关注我们

 还在等什么?赶紧点击下方名片开始学习吧!


信 安 考 证

需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球1年!

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...


推 荐 阅 读



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247504352&idx=1&sn=aa3b22fd490cabe1fa06129df4b28afc&chksm=cfa575f3f8d2fce56a9bade4aa766055596cbc8f8d3023518416d5375b5836cf2ac5218b4e69#rd
如有侵权请联系:admin#unsafe.sh