以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析

admin 2021年10月27日22:55:33逆向工程评论28 views1082字阅读3分36秒阅读模式
以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析


背景

    

        Cobalt Strike是一种商业的、功能齐全的红队渗透工具,它标榜自己是“旨在执行有针对性的攻击并模拟高级威胁参与者的开发后行动的对手模拟软件”。Cobalt Strike 的交互式后期开发功能涵盖了所有 ATT&CK 战术,所有这些都在单个集成系统中执行。除了自身的功能外,Cobalt Strike 还利用了其他知名工具的功能,例如 Metasploit 和Mimikatz。

        近日,MalwareHunterTeam发布一例恶意软件名为接种新冠疫苗-紧急通知。安恒应急响应工程师对该样本进行分析。

样本名称

MD5

文件大小

接种新冠疫苗-紧急通知 .doc.exe

72FFC4711DDC1A6DA2F6472777E10244

72704 bytes

以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析


执行流程图如下:


详细分析


        程序主要功能流程比较简单,申请内存解压硬编码shellcode,通过设置Windows枚举窗口API回调函数执行shellcode。
以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析shellcode特征很明显,标准的CS所生成64位机器shellcode内容如下。

以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析

执行shellcode会初始化本地网络API相关动态链接库。

以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析

随后通过HTTP请求回连服务器的7999端口,CS肉鸡上线。

以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析

该样本同时关联到大量恶意样本:

以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析



YARA规则


针对CS生成的64位shellcode提取yara规则

rule Cobalt_Strike_20210720
{
meta:
description = "CS_shellcode"
strings:
$a1 = {FC 48 83 E4 F0}
$a2 = {65 48 8B 52 60 48 8B 52 18 48 8B 52 20}
$a3 = {48 83 EC 20 41 52 FF E0}
$a4 = {48 8B 52 20 8B 42 3C 48 01 D0 66 81 78 18 0B 02}
condition:
all of them
}


IOC

C&C

47.107.236[.]124


总结及防护建议

        

        此次分析样本为CS马,样本会加载黑客服务器上的远程代码并执行。灵活度高,可执行任意代码,免杀效果较强,建议及时对该C2通信进行拦截。建议终端用户不要点击下载不明来历软件或未知邮件附件,下载软件尽量去厂商官网下载;不随意点击不明链接,陌生文件下载运行前可使用文件威胁分析平台进行检测(https://ti.dbappsecurity.com.cn/),避免感染病毒;定期查杀病毒,清理可疑文件,备份数据。

安恒应急响应中心

2021年07月





本文始发于微信公众号(安恒信息应急响应中心):以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月27日22:55:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析 http://cn-sec.com/archives/430803.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: