一
背景
Cobalt Strike是一种商业的、功能齐全的红队渗透工具,它标榜自己是“旨在执行有针对性的攻击并模拟高级威胁参与者的开发后行动的对手模拟软件”。Cobalt Strike 的交互式后期开发功能涵盖了所有 ATT&CK 战术,所有这些都在单个集成系统中执行。除了自身的功能外,Cobalt Strike 还利用了其他知名工具的功能,例如 Metasploit 和Mimikatz。
近日,MalwareHunterTeam发布一例恶意软件名为接种新冠疫苗-紧急通知。安恒应急响应工程师对该样本进行分析。
|
样本名称 |
MD5 |
文件大小 |
|
接种新冠疫苗-紧急通知 .doc.exe |
72FFC4711DDC1A6DA2F6472777E10244 |
72704 bytes |
二
详细分析
shellcode特征很明显,标准的CS所生成64位机器shellcode内容如下。
执行shellcode会初始化本地网络API相关动态链接库。
随后通过HTTP请求回连服务器的7999端口,CS肉鸡上线。
该样本同时关联到大量恶意样本:
三
YARA规则
针对CS生成的64位shellcode提取yara规则
rule Cobalt_Strike_20210720
{
meta:
description = "CS_shellcode"
strings:
$a1 = {FC 48 83 E4 F0}
$a2 = {65 48 8B 52 60 48 8B 52 18 48 8B 52 20}
$a3 = {48 83 EC 20 41 52 FF E0}
$a4 = {48 8B 52 20 8B 42 3C 48 01 D0 66 81 78 18 0B 02}
condition:
all of them
}四
IOC
|
C&C |
|
47.107.236[.]124 |
五
总结及防护建议
此次分析样本为CS马,样本会加载黑客服务器上的远程代码并执行。灵活度高,可执行任意代码,免杀效果较强,建议及时对该C2通信进行拦截。建议终端用户不要点击下载不明来历软件或未知邮件附件,下载软件尽量去厂商官网下载;不随意点击不明链接,陌生文件下载运行前可使用文件威胁分析平台进行检测(https://ti.dbappsecurity.com.cn/),避免感染病毒;定期查杀病毒,清理可疑文件,备份数据。
安恒应急响应中心
2021年07月
本文始发于微信公众号(安恒信息应急响应中心):以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论