恶意软件分析:借助军事相关诱饵文档传播CobaltStrike近期,Cisco Talos团队考察到一个恶意软件运动,该恶意运动诈骗军事相干要旨的恶意Microsoft Office文档鼓吹了蕴涵完备RAT效力的Cobalt Strike。正在这些恶意文档中,蕴涵了用于实行众阶段、高度模块化濡染运动的恶意宏。该恶意运动仿佛针对南亚区域的军事和政府构制。为有用应对这种恐吓,应当正在行使基于收集的检测产物的根蒂上,将其与终端防护产物维系行使,以供给众层安闲防护。

  正在Cisco Talos此次挖掘的新型恶意运动中,攻击者诈骗了定制化的Cobalt Strike实行分阶段的众层攻击,最终濡染宗旨终端。思考到此次攻击中所行使的恶意文档的要旨,咱们以为南亚的军事和政府构制很有可以会成为此次攻击的宗旨。

  该攻击行使一个高度模块化的Dropper可奉行文献,咱们将其称为“IndigoDrop”。攻击者行使恶意文档,将该文献投放到受害者的终端。IndigoDrop会从指定的下载URL下载最终Payload并实行安排。咱们挖掘,正在攻击运动中所行使的最终Payload,本质上是Cobalt Strike。

  正在本文中,咱们将要紧对恶意文档、IndigoDrop和Cobalt Strike组件的焦点工夫效力实行说明,此中包罗:

  2、采用了高度模块化的濡染链(正在IndigoDrop中告终)以濡染最终的Payload;

  3、行使已有的攻击性框架(Cobalt Strike)来创设限定并告终收集中的长期性,如许一来,攻击者就不须要再开荒定制化的长途限定木马(RAT)。

  依照近期挖掘的攻击链蜕化处境,咱们可能判别出这一恐吓演变的进程。其演变进程注明,攻击者一连加紧了遁避检测方面所行使的政策和工夫。该恶意运动还注明,纵然基于收集的检测万分枢纽,可是也应当通过说明体例举动特质、安排终端防护产物等方法,对收集层检测才力实行填补,以供给出格的安闲性。

  2、将恶意宏行为外部链接模板的一个人,最先下载恶意宏,然后将其注入到原始恶意文档中。

  攻击者将恶意文档伪装成内部政府文档或军事文档。举例来说,咱们挖掘此中少许恶意文档是“事故举措打算”(IAP)文献,正在这些文档中纪录了印度空军(IAF)的IT根蒂举措保险步调。

  此前,咱们考察到的很众恶意文档往往会只蕴涵几页诱饵实质,以加强其确实性,并进一步发展有针对性的攻击。可是,正在这一攻击运动中,所行使的诱饵文档中蕴涵完备的合法实质,大约正在64页、15000字足下,这将让诱饵文档看起来尤其确实。咱们还正在收集中挖掘了一份原始文档,此中不蕴涵恶意代码,这注明攻击者很可以依照这份原始文档实行军火化,并将其分发给潜正在受害者。

  依照两个差别样本中行使的差别工夫,咱们辨别说明当地嵌入的恶意宏代码,以及从长途地位下载的注入后模板中所行使的恶意宏代码。

  1、将Windows可奉行文献的硬编码字节解析为可能写入磁盘上文献的字节。

  2、解析的字节会被写入到眼前登任用户的Startup目次下,酿成EXE文献:

  3、一朝恶意EXE(第二阶段Payload,IndigoDrop)被写入到用户的Startup目次后,宏将会退出奉行,而不会奉行本质的第二阶段Payload。

  4、一朝用户再次登录或者从新启动体例,将会激活受濡染终端上的第二阶段Payload。

  5、正在攻击中行使的第二阶段Payload是一个自界说的Dropper(IndigoDrop),可能奉行一系列劳动。

  攻击者很有可以是将恶意文档托管正在群众供职器上,并行使鱼叉式收集垂纶电子邮件的方法,将原始URL或短网址URL分发到宗旨用户。如许一来,就可能绕过安闲软件看待电子邮件附件安闲性的查抄。

  恶意文档刻意将第二阶段的二进制文献就寝到磁盘上,这是一个恶意的投放/加载器材,咱们将其称为“IndigoDrop”,该器材可能从另一个长途地位下载并激活自界说的Cobalt Strike(最终Payload DLL)。

  1、这是一个高度模块化的恶意器材,正在IndigoDrop中经常蕴涵三个硬编码的地位,可能用于下载和激活下一阶段的Payload。

  2、正在此次攻击中,IndigoDrop同时诈骗攻击者利用的长途地位和公用的数据托管平台(比方pastebin[.]com)来托管下一阶段的Payload。这一投放器材很有可以会从这些长途地位下载最终的Payload,就坊镳正在其他变种中所行使的设施相通。

  咱们对IndigoDrop实行说明,挖掘该投放器材正在终端上奉行以下操作:

  3、查抄眼前用户名、估计打算机名称、Shellcode所正在父文献夹名称、主机MAC所在、公网IP所在。若是此中的任何值与黑名单成婚,则IndigoDrop将会推出。咱们正在终末一章恐吓目标中,列出了黑名单中蕴涵的值。

  MetaSploit Shellcode是原委篡改后的反向HTTP阶段器材,用于从特定的下载地位下载恶意文献。正在2A阶段中行使的Shellcode经常托管正在群众站点上,比方pastebin[.]com。

  这里下载的恶意文献,经常是木马化jquery[.]min.js文献的副本。恶意jQuery文献中蕴涵:

  2、正在文献的特定偏移量地位蕴涵的另一个Shellcode(咱们将其称为3A阶段)。

  3、跳转到jquery文献中嵌入的恶意Shellcode,然后开端奉行3A阶段的恶意文献。

  正在恶意jQuery文献中,蕴涵解码器材Shellcode(第三阶段-A)和最终的Cobalt Strike DLL。可是,这里行使的DLL是XOR编码后的。解码器材Shellcode刻意对其实行解码,并激活投放器材经过内存中的最终Payload。

  最终的RAT Payload本质上是Cobalt Strike。正在对DLL实行解码后,解码器材Shellcode(第三阶段-A)跳转到内存中MZ的起首,而不是转到DllEntryPoint。如许做是为了估计打算加载器材例程(经常也是导出的子例程)的所在并跳转到该地位,这个例程将正在投放器材经过的内存中奉行Cobalt Strike的反射DLL加载。

  加载器材例程竣工内存中DLL的筑树(包罗从新编译Imports、重定位等)之后,将会跳转到DllEntryPoint(或DllMain),以激活濡染进程的终末一个阶段——本质的RAT组件。

  Cobalt Strike行使框架中“.profile”文献指定的筑设。这些筑设描写了恶意Payload的种种特质,包罗:C2筑设、通讯和议、经过注入工夫等。

  正在此次攻击中所行使的筑设文献试图仿效合法的jQuery要求。正在此次攻击中,最常睹的筑设如下:

  正在此次攻击中所行使的Cobalt Strike助助众种效力(也称为下令),包罗:

  正在此次攻击中,滥用了pastebin[.]com网站以托管MetaSploit下载器材的Shellcode(第二阶段-A)。正在Pastebin上托管的Shellcode是通过访客用户或者以下五个注册帐户创筑的,辨别是:

  咱们还挖掘正在此次恶意运动中,行使了少许基于Python的模块(pyinstaller EXE)。这些模块可以也正在之前的其他恶意运动中行使过,或者被Cobalt Strike安排为此次攻击的一个人。咱们挖掘的两个Python模块具有以下用处:

  咱们挖掘了行使MetaSploit Shellcode实行攻击的众个变种,它们最终城市激活最终的Payload,也即是Cobalt Strike。正在这一章中,咱们将映现攻击的演变进程,以及正在差别阶段攻击者对其效力的篡改。

  这是最早挖掘的一个攻击变种。正在这个恐吓中,如故来源于一个蕴涵恶意宏的恶意文档。被投放到磁盘上的Payload是一个“.crt”文献。恶意宏行使“certutil”对该文献实行解码,以获取下一阶段的Payload二进制文献(EXE),然后正在宗旨终端上奉行该文献。

  恶意宏激活的Payload并不是Dropper。正在这个早期变种中,没有诈骗中央的Dropper来下载并激活最终Payload。

  取而代之的是,由恶意宏正在终端上解码并奉行的二进制文献,仅仅是一个基于SMB的Cobalt Strike。这个SMB版本的Payload连接产生正在2019年9月创筑的恶意文档中。

  大约正在2019年5月,攻击者测试了Cobalt Strike天生的基于VBA宏的阶段器材的行使。该攻击链中包罗一个带有嵌入式宏的恶意文档,此中的恶意宏可能将硬编码的MSF下载器材Shellcode(第二阶段-A)注入到合法的32位经过中。

  攻击者从2019年9月开端实验自界说Dropper,并正在此中行使了一个新的模块(第二阶段-A)——MetaSploit下载器材Shellcode。

  攻击者正在2019年9月最终确定了攻击根蒂举措机合,并开端分发IndigoDrop样本。这些Dropper是基于最早的测试样本(同样创筑于2019年9月),而且也万分似乎地蕴涵嵌入式MSF下载器材Shellcode。这些Dropper现正在会结合到攻击者利用的公网IP上,以下载第三阶段Payload。

  大约正在2019年9月底,攻击者开端采用另一种濡染政策——行使Python+基于EXE的下载器材/投放器材。

  这些Dropper没有像它们的前代版本那样诈骗嵌入式MSF Shellcode。相反,Shellcode托管正在攻击者限定和利用的供职器上。

  正在攻击者挖掘Pastebin的效率之后,攻击者升级了他们的IndigoDrop告终,行使众个Pastebin来下载MSF Shellcode。一朝此中的某一个被删除,攻击者会行使其他链接行为备份。另外,攻击者还将Pastebin和攻击者限定的下载供职器维系正在沿道行使,以行为相互的备份。

  正在本次考察进程中,映现了攻击者行使众种器材和工夫来告终其完备的攻击链。从定制器材(IndigoDrop)到可自界说的抗拒器材(Cobalt Strike),攻击者行使了众种濡染设施对宗旨提议攻击。另外,攻击者还维系行使群众和私有供职器来托管其恶意Payload,而且越来越偏向于行使群众供职器。

  因为他们行使了以军事为要旨的恶意文档,这可以注明攻击者要紧针对南亚的政府构制和军事构制。正在恶意文档中蕴涵确实的文字实质,而且很可以是合法文档的军火化版本,从而可能进一步加强迷茫性。

  跟着时期的推移,咱们接连挖掘了众个变种,这些变种注明恐吓出席者可能正在短时期内对其TTP实行修正。咱们最早可能考察到的该攻击者的攻击运动可能追溯到2018年4月,攻击运动跟着不休演变而一连至今。攻击者可能迅疾构想、测试和开荒出新的效力和更众样化的模块,这阐发攻击者具有高度的主动性和矫捷性。依照他们所行使的Cobalt Strike等框架,注明攻击者正正在寻找通过自界说组件的方法来大周围扩展其军火库的方法。

  此刻,恶意软件的攻击链中往往会蕴涵众个阶段和运营者实体。这些组件和实体可能托管正在当地或长途供职器上。比方,这一次攻击是由托管正在当地组件(IndigoDrop)正在运转时从长途地位下载的众个Shellcode构成。以是,这阐发了基于收集的检测的首要性,更阐发了还应当借助体例举动说明和终端防护来实行填补的首要性。

转载请注明出处:MT4平台下载
本文标题网址:恶意软件分析:借助军事相关诱饵文档传播CobaltStrike