备案控制台
探索云世界
开发者社区 云计算 文章 正文

一次偶然的CobaltStrike木马钓鱼邮件分析

2022-08-24 309
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 一次偶然的CobaltStrike木马钓鱼邮件分析

前言

前几天看到一篇关于近期钓鱼邮件的情况统计的文章,挺有意思 https://mp.weixin.qq.com/s/8WIz9-w7xjh8mVaDItYcPw然后在逛某威胁情报社区的时候,看到了一个恶意url,也挺有意思子域名伪装成某安全公司hhh,然后看了下与之有关的通信样本

好家伙全是钓鱼文件,免杀做的还不错,最近几天不知道为什么异常频繁

于是就点进去几个看了看,分析分析这种是怎么实现cs上线的(纯小白,勿喷)

下面所有分析均为在线沙箱进行测试的结果,没接触过二进制方向,电脑上没有相关工具……

简历钓鱼

先看到的是一个北京大学的简历,现在是已经被定义为恶意了,并且被标记为CobaltStrike木马

样本的hash值放下面了,大家也可以自己去看一下

SHA256:
b7ff62f3bf717ea0fa6a0b423c77969eb93a4b0fdf9ba3bd3d655ff7249ed9d2
MD5:
13ac80870f36b12e7e67a433dcb6fb25
SHA1:
5b47e0ca06c4b40ac947e01b5c2cc6af2da2942b

CS场景检测

先看一下沙箱的CS场景检测的结果

在静态检测的结果里面,是匹配到了三条CobaltStrike的Yara规则。

YARA规则是VT发布的,用于样本的批量检索和查杀,目前很多知名软件也使用YARA。 其中YARA规则常以hash(文件的hash或导入表之类的hash)、PE头、pdb、全局字符串、互斥体、特定的函数等信息作为特征。

详细的Yara规则,可以见这篇文章https://blog.csdn.net/qq_36090437/article/details/79911375

在这个钓鱼邮件的网络行为结果中,是检测到了攻击者使用了域前置方法,来隐藏了自己的真实ip

找到了与隐藏IP同CDN下的一个网站(chaitin.cn) 作为host (相关URL) 搜了下是某亭hhh

域前置

域前置是一个隐藏连接真实断点来逃避追查的方法。

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输

现在在https的协议中,HHTP层里面写A站点,但是在TLS层的SNI主机写B站点,暴露在外面的是B站点。

简单来说,正常请求一个网址的真实ip为,向该站点的CDN请求其IP。

使用了域前置方法的请求流程为,向A站点的CDN服务器请求B站点的IP (B站点写在http层,由tls包裹,请求的CDN是A的CDN,在CDN上就是请求B站点的IP)

就是到TLS上写的站点的CDN服务器,请求最里层写的网站的IP

下面一张图片很好的解释了域前置的效果详细的域前置知识,以及如何实现Cobalt Strike隐藏真实ip上线powershell见这篇文章:https://blog.csdn.net/weixin_44604541/article/details/118413649

而一开始发现的网站,也正是一个腾讯云的CDN:*.cdn.dnsv1.com

搜索该后缀即可发现为腾讯云CDN的后缀

行为检测

在行为检测分析结果中,主要来看高危和可疑的几个行为

在恶意行为特征中,命中了三条CobaltStrike的相关Yara规则,证实了为CobaltStrike的木马

在系统敏感操作中,创建了一个whoami的cmd进程(名字叫360sd.exe)

启动了两个进程,除了创建的360sd.exe,还用微软的PDF阅读器打开了真正的简历文件

acrord32.exe是Adobe Acrobat Reader阅读器的一部分。该进程用于打开和察看PDF文档。

在可疑行为中,可以看到创建了shell,使用域前置通信等等,除了这些,还发现了进行了改变文件属性的操作

多引擎检测

可以看出这个师傅的免杀做的还是很好的,dlddw

动态分析

下面为在真实环境中运行的动态分析

进程详情

可以看到它一共的13个进程,下面来挨个看一下大致都执行了什么操作

首先第一阶段是启动简历的快捷方式

第二个为执行__MACOSX.DOCX\1.bat文件

第三个阶段为复制文件,将解压文件夹下的wda.tmpmbp.tmp两个复制至C:\Users\Public目录下\

第四阶段为改变文件的属性 (不明白为什么用-,不应该是+隐藏属性吗?)

第五阶段为释放了一个新进程,并执行了whoami命令

第六阶段为使用系统自带的pdf阅读器打开简历pdf文件

网络行为

捕捉到的域名和IP基本上都是CDN的地址,并不是攻击者的真实ip,还是被他逃掉了,可恶

释放文件

在这里是可以看到释放了两个文件,并移动至了C盘下

处置建议

该文件为恶意文件,请您立即删除或隔离此文件。如果已在您的主机运行,建议您进行如下操作:

删除下面两个文件: C:\Users\Public\wda.tmp C:\Users\Public\mbp.tmp

文章标签:
CDN
Shell
CDN
安全
sec0nd
目录
相关文章
网站安全
|
SQL 监控 安全
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站被攻击后找到我们SINE安全做网站的安全服务,防止恶意攻击与篡改。对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何被入侵,攻击者的IP是谁,那么我们SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析,溯源追踪,帮助客户找到网站漏洞根源,到底是谁在攻击他们。下面我们来分享一下,我们是如何对日志进
网站安全
545 0
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
狼人2007
|
Web App开发 JavaScript 安全
警告:黑客发动在线钓鱼攻击不再依赖电子邮件
  安全厂商Trusteer的研究人员表示,近日黑客利用所有主流浏览器中存在的一个漏洞发起新型攻击,被称为“在线钓鱼攻击(in-session phishing)”,这种攻击能够帮助黑客轻而易举地窃取网上银行电子证书。
狼人2007
1158 0
狼人2007
|
安全 程序员 索引
黑客用谷歌开发人员网站发恶意软件
一位安全研究人员星期五(1月9日)称,谷歌为开发人员推出的免费的代码托管网站正在被用于发布恶意软件。 Google Code是程序员能够托管项目和代码的一个网站。McAfee Avert Labs的安全研究经理Dave Marcus说,这个网站在拥有合法的代码的同时还有一些指向虚假的视频的链接,让用户下载缺失的解码器。
狼人2007
820 0
狼人2007
|
Web App开发 JavaScript 安全
黑客利用弹出窗口冒充安全警告发起钓鱼攻击
根据安全厂商Trusteer研究员的发现,该种新型的钓鱼攻击主要是利用了众多浏览器中都存在的漏洞,通过这种称为“in-session phishing”的会话钓鱼攻击,可以更轻易地窃取到网上银行证书。
狼人2007
1004 0
狼人2007
|
安全
RSA公布被攻击内幕:钓鱼邮件惹祸
北京时间4月4日晚间消息,EMC旗下安全部门RSA日前表示,上个月遭遇的黑客入侵事件主要源自一封钓鱼邮件。 EMC上月中旬宣布,旗下安全部门RSA遭遇黑客攻击,目前尚不知晓攻击涉及的范围,但可能令公司防黑客入侵技术的安全性面临危险。
狼人2007
1276 0
网站安全
|
安全 .NET PHP
如何解决网站可能存在webshell网页木马,阿里云网站木马后门文件提醒
早上刚上班就有新客户咨询我们Sinesafe安全公司反映说收到一条阿里云的短信过来,内容为:网站木马文件提醒018-06-20 09:20:49尊敬的***网:您的虚拟主机中有文件触发了安全防护报警规则,可能存在webshell网页木马,您可以登录虚拟主机控制台-对应主机的"管理"文件管理-网站木马查杀功能确认是否为恶意文件,相关帮助文档请参考网站木马查杀帮助。
网站安全
4208 0
大宝SEO
|
安全 数据库 数据安全/隐私保护
网站被黑客挂马劫持有那些防范措施可以避免
做好网站建设维护绝对不是一件一帆风顺的事,都需要专业人员定期对网站进行安全做检查,尤其是对于人们口中所说的挂马、病毒、快照劫持、网站被黑等现象。为了防止出现这类危害,一定要做好预防,预防措施如何做?这也是今天泽民给大家分享的知识点,如果不处理当网站出现问题了对于维护也是十分困难的,下面这些网站被黑客挂马劫持预防小技巧你一定要知晓。
大宝SEO
1094 0
z奶油面包
|
Linux Python
SocialFish-kali下社会工程学钓鱼工具
版权声明:转载请注明出处:http://blog.csdn.net/dajitui2024 https://blog.csdn.net/dajitui2024/article/details/79396726 ...
z奶油面包
1800 0
优惠码发放
|
Web App开发 监控 安全
阿里云盾提醒网站被WebShell木马后门分析与对策
收到阿里云用户朋友的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了
优惠码发放
9519 0
技术小阿哥
|
安全 .NET 数据安全/隐私保护
黑客学习笔记教程五:木马技术
技术小阿哥
2354 0

热门文章

最新文章

  • 1
    Mac安装并使用telnet命令操作
  • 2
    OSS回源的几种方式和应用场景
  • 3
    [剑指offer] 孩子们的游戏(圆圈中最后剩下的数)
  • 4
    网络安全系列之二十二 Windows用户账号加固
  • 5
    我理解的一个程序员如何学习前端开发
  • 6
    《社交网站界面设计(原书第2版)》——1.9 为设备之间的空间进行设计
  • 7
    《Microduino实战》——1.2 为什么要开源
  • 8
    .Net函数Math.Round你会用吗?
  • 9
    麻省理工大学新发明:暗黑WiFi透视技术
  • 10
    2014秋C++第19周 补充代码 哈希法的存储与查找
  • 1
    R语言关联规则模型(Apriori算法)挖掘杂货店的交易数据与交互可视化
    25
  • 2
    R语言近似贝叶斯计算MCMC(ABC-MCMC)轨迹图和边缘图可视化
    21
  • 3
    r语言中对LASSO回归,Ridge岭回归和弹性网络Elastic Net模型实现-4
    29
  • 4
    Sentieon | 每周文献-Multi-omics-第四十一期
    25
  • 5
    数据分享|R语言广义线性模型GLM:线性最小二乘、对数变换、泊松、二项式逻辑回归分析冰淇淋销售时间序列数据和模拟-2
    15
  • 6
    数据分享|R语言广义线性模型GLM:线性最小二乘、对数变换、泊松、二项式逻辑回归分析冰淇淋销售时间序列数据和模拟-1
    22
  • 7
    基于RT-Thread摄像头车牌图像采集系统
    22
  • 8
    R语言极值理论:希尔HILL统计量尾部指数参数估计可视化
    16
  • 9
    【视频】R语言中的分布滞后非线性模型(DLNM)与发病率,死亡率和空气污染示例
    18
  • 10
    sql语句创建数据库
    18

    • 相关电子书

    更多
  • 代码未写,漏洞已出
  • 如何产生威胁情报-高级恶意攻击案例分析
  • 低代码开发师(初级)实战教程
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)