一次偶然的CobaltStrike木马钓鱼邮件分析

已于 2022-08-03 09:01:07 修改
阅读量2k 收藏 7
点赞数 2
分类专栏: 安全笔记 文章标签: 网络 安全
于 2022-08-02 20:55:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52444045/article/details/126124857
版权

文章目录

前言

前几天看到一篇关于近期钓鱼邮件的情况统计的文章,挺有意思
https://mp.weixin.qq.com/s/8WIz9-w7xjh8mVaDItYcPw
在这里插入图片描述

然后在逛某威胁情报社区的时候,看到了一个恶意url,也挺有意思
在这里插入图片描述
子域名伪装成某安全公司hhh,然后看了下与之有关的通信样本

在这里插入图片描述

好家伙全是钓鱼文件,免杀做的还不错,最近几天不知道为什么异常频繁

于是就点进去几个看了看,分析分析这种是怎么实现cs上线的(纯小白,勿喷)

下面所有分析均为在线沙箱进行测试的结果,没接触过二进制方向,电脑上没有相关工具……

简历钓鱼

先看到的是一个北京大学的简历,现在是已经被定义为恶意了,并且被标记为CobaltStrike木马

在这里插入图片描述
样本的hash值放下面了,大家也可以自己去看一下

SHA256:
b7ff62f3bf717ea0fa6a0b423c77969eb93a4b0fdf9ba3bd3d655ff7249ed9d2
MD5:
13ac80870f36b12e7e67a433dcb6fb25
SHA1:
5b47e0ca06c4b40ac947e01b5c2cc6af2da2942b

CS场景检测

先看一下沙箱的CS场景检测的结果
在这里插入图片描述

在静态检测的结果里面,是匹配到了三条CobaltStrike的Yara规则。

YARA规则是VT发布的,用于样本的批量检索和查杀,目前很多知名软件也使用YARA。
其中YARA规则常以hash(文件的hash或导入表之类的hash)、PE头、pdb、全局字符串、互斥体、特定的函数等信息作为特征。

详细的Yara规则,可以见这篇文章https://blog.csdn.net/qq_36090437/article/details/79911375

在这里插入图片描述
在这个钓鱼邮件的网络行为结果中,是检测到了攻击者使用了域前置方法,来隐藏了自己的真实ip

找到了与隐藏IP同CDN下的一个网站(chaitin.cn) 作为host (相关URL) 搜了下是某亭hhh

域前置

域前置是一个隐藏连接真实断点来逃避追查的方法。

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输

现在在https的协议中,HHTP层里面写A站点,但是在TLS层的SNI主机写B站点,暴露在外面的是B站点。

简单来说,正常请求一个网址的真实ip为,向该站点的CDN请求其IP。

使用了域前置方法的请求流程为,向A站点的CDN服务器请求B站点的IP (B站点写在http层,由tls包裹,请求的CDN是A的CDN,在CDN上就是请求B站点的IP)

就是到TLS上写的站点的CDN服务器,请求最里层写的网站的IP

下面一张图片很好的解释了域前置的效果
在这里插入图片描述
详细的域前置知识,以及如何实现Cobalt Strike隐藏真实ip上线powershell见这篇文章:https://blog.csdn.net/weixin_44604541/article/details/118413649

而一开始发现的网站,也正是一个腾讯云的CDN:*.cdn.dnsv1.com

搜索该后缀即可发现为腾讯云CDN的后缀

在这里插入图片描述

行为检测

在这里插入图片描述

在行为检测分析结果中,主要来看高危和可疑的几个行为

在恶意行为特征中,命中了三条CobaltStrike的相关Yara规则,证实了为CobaltStrike的木马

在这里插入图片描述

在系统敏感操作中,创建了一个whoami的cmd进程(名字叫360sd.exe)

启动了两个进程,除了创建的360sd.exe,还用微软的PDF阅读器打开了真正的简历文件

在这里插入图片描述
acrord32.exe是Adobe Acrobat Reader阅读器的一部分。该进程用于打开和察看PDF文档。

在这里插入图片描述

在可疑行为中,可以看到创建了shell,使用域前置通信等等,除了这些,还发现了进行了改变文件属性的操作

在这里插入图片描述

多引擎检测

在这里插入图片描述
可以看出这个师傅的免杀做的还是很好的,dlddw

动态分析

下面为在真实环境中运行的动态分析

进程详情

在这里插入图片描述

可以看到它一共的13个进程,下面来挨个看一下大致都执行了什么操作

在这里插入图片描述
首先第一阶段是启动简历的快捷方式

第二个为执行__MACOSX.DOCX\1.bat文件

第三个阶段为复制文件,将解压文件夹下的wda.tmpmbp.tmp两个复制至C:\Users\Public目录下\

第四阶段为改变文件的属性 (不明白为什么用-,不应该是+隐藏属性吗?)

在这里插入图片描述
第五阶段为释放了一个新进程,并执行了whoami命令

第六阶段为使用系统自带的pdf阅读器打开简历pdf文件

网络行为

在这里插入图片描述

捕捉到的域名和IP基本上都是CDN的地址,并不是攻击者的真实ip,还是被他逃掉了,可恶

释放文件

在这里插入图片描述
在这里是可以看到释放了两个文件,并移动至了C盘下

处置建议

该文件为恶意文件,请您立即删除或隔离此文件。如果已在您的主机运行,建议您进行如下操作:

删除下面两个文件:
C:\Users\Public\wda.tmp
C:\Users\Public\mbp.tmp

sec0nd_
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
cobalt strike笔记-常用beacon命令.pdf
04-03
cobalt strike笔记-常用beacon命令
Cobalt Strike入门教程-通过exe木马实现远控
weixin_30770495的博客
05-18 4969
Cobalt Strike(简称CS)有很多功能,这篇文章主要介绍最基本的功能:通过exe木马实现远程控制。 CS分为两部分:客户端和Team Server服务端。这两部分都依赖Java 1.8,所以运行CS程序前要安装JRE。 分享一个Cobalt Strike v3.8的试用版,可长期试用。百度网盘:https://pan.baidu.com/s/1nXq58froWt0mu3q8I4Hs...
一次Linux服务器被hack的过程分析
01-31
最近遇到一个服务器被hack的问题,服务器变成了肉机,不断尝试破解其他机器的帐号。下面我们通过分析黑客在服务器上留下的工具,了解入门的hack方法、学习相应的防范措施。hacker登入一台被入侵的服务器,通常首先使用”w”命令查看登陆者信息、使用”passwd”命令修改当前用户密码,然后通过wget,获取提权和其他hack工具。hacker一般将工具解压到目录名以”.”开头的目录中,达到隐藏的效果,以下是此次问题hacker在服务器上留下的“礼物”:linux:/tmp/.ssh#ll总计340下面我们对以上各工具的作用逐一进行分析。远程会话管理工具screenscreen主要用于管理多
木马病毒造成网络异常分析
02-27
主要对木马病毒造成的网络异常该如何诊断和分析
CS4.9.1.1-CobaltStrike4.9.1.1版
01-18
Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多个,非常适合团队协同作战,多个攻击者可以同时连接到一个团队服务器上,共享攻击资源与目标信息和sessions,可模拟APT做模拟对抗,进行内网渗透。 Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。
Cobalt Strike 初体验
hl1293348082的专栏
03-30 849
Cobalt Strike 一款以 metasploit 为基础的 GUI 的框架式渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe 木马生成,win dll 木马生成,java 木马生成,office 宏病毒生成,木马捆绑。 钓鱼攻击包括:站点克隆,目标信息获取,java 执行,浏览器自动攻击等等。 Cobalt Strike 主要用于团队作战,可谓是团队渗透神器,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和 sessions。 Cobalt St
Cobalt Strike远控木马分析
热门推荐
钞sir的博客
10-21 1万+
简介 Cobalt Strike目前已经很流行, 其生成的木马在很多地方也可以找到, 这里通过网上发布的一个aqy的免广告的工具中带的木马进行分析学习… 过程 找到可疑文件 这里通过Exeinfo.exe工具, 发现可疑DLL, 文件被vmp 2.07加了壳, 很明显一般的dll不会加这种壳: 行为分析 通过OD我们进行调试, 发现此dll的主要功能是调用当前目录下的powershell脚本dataup.ps1: 查看此dataup.ps1, 代码如下: sal a New-Object;Add-Typ
CobaltStrike YARA规则 检测 环境搭建
qq_43615820的博客
12-19 291
CobaltStrike YARA规则 检测 环境搭建
内网渗透神器CobaltStrike之钓鱼攻击(六)
xf555er的博客
11-22 2609
office钓鱼在无需交互、用户无感知的情况下,执行Office文档中内嵌的一段恶意代码,从远控地址中下载并运行恶意可执行程序,例如远控木马或者勒索病毒等。Cobalt Strike office钓鱼主要方法是生成一段vba代码,然后将代码复制到office套件中,当用户启动office自动运行lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。lnk钓鱼主要将图标伪装成正常图标,但是目标会执行shell命令。
cobalt strike木马免杀
xf555er的博客
05-02 9649
0x001-针对powershell免杀 工具:Invoke-Obfuscation 操作实例: 1、利用CS生成powershell木马 2、进入invoke-Obsfuscation文件,使用powershell命令执行 3、利用powershell命令执行免杀后的ps1文件,成功上线 0x002 -针对可执行程序(.exe)的免杀 工具:shellter 1、进入shellt...
一句话 asp木马加密版 彻底突破杀毒软件
01-02
不知道怎样表达清楚。看例子吧: 代码如下:[removed]  Execute(HextoStr(“65786563757465287265717565737428636872283335292929”))  Function HextoStr(data)  HextoStr=”EXECUTE “””””  C=”&CHR(&H”  N=”)”  Do While Len(data)>1  If IsNumeric(Left(data,1)) Then  HextoStr=HextoStr&C&Left(data,2)&N  data=Mid
反向实验室YARA规则库:深度解析与应用指南
gitblog_00009的博客
04-14 780
反向实验室YARA规则库:深度解析与应用指南 项目地址:https://gitcode.com/reversinglabs/reversinglabs-yara-rules 在网络安全领域,有效的恶意软件检测和预防是至关重要的。ReversingLabs YARA 规则库正是这样一个工具,它提供了一套丰富的开源YARA规则,帮助开发者和安全研究人员识别并对抗各种威胁。本文将深入探讨其技术背景、功...
2023年最新整理网络安全护网蓝队面试题​
msb_114的博客
06-30 1325
2023最新整理的护网蓝队面试题,防守方面试题合集
应急响应-Yara规则木马检测
HBohan的博客
01-05 963
Yara是一个基于规则的恶意样本分析工具,可以帮助安全研究人员和蓝队分析恶意软件,并且可以在应急取证过程中自定义检测规则来检测恶意软件,Yara支持有木马文件落盘和无木马文件落盘(内存马)的检测,由一组字符串和一个确定的布尔表达式组成。
使用CS发送钓鱼邮件
B_2013617的博客
05-20 3674
使用CS发送钓鱼邮件 准备步骤 1.创建一个监听器 2.生成一个恶意的hta文件 点击Attacks-Packages-HTML Application,选择刚才生成的监听器,点击生成,将方法选择为VBA(使用默认的我的win10机器上线不了,不知道啥原因),然后会生成一个叫做evil.hta的文件,保存到本地 3.然后是要将刚才生成的文件上传到服务端(因为我的cs服务端放在阿里云上,所以这里是把evil.hta这个文件上传到了阿里云上面),点击Host File,选中之前生成的evil.hta文件,
CobaltStrike windows木马原理分析
好好学习,天天向上
12-28 1111
本文主要介绍CobaltStrike windows型木马的原理,同Meterpreter大体类似。不同之处有使用了命名管道,使用了http的相关api来下载payload,同样使用的peb来获取api的地址,最后的后门是一个反射型dll。
CobaltStrike使用-第四篇(鱼叉钓鱼攻击-细思极恐)
Love&Share
12-02 2795
前三篇文章介绍了CS的基本使用方法和模块,本篇将会具体介绍CS进行鱼叉钓鱼攻击
CS钓鱼邮件攻击
J1nmu的博客
05-18 274
CS邮件钓鱼攻击
“折翼行动” :全球第三大比特币矿机厂商遭遇供应链攻击
阿道夫的博客
03-16 159
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
cobaltstrike木马查杀
最新发布
04-26
CobaltStrike是一种常见的渗透测试工具,也被黑客用于进行网络攻击。查杀CobaltStrike木马需要采取以下步骤: 1. 实时监测:使用安全防护软件或网络安全设备,如防火墙、入侵检测系统(IDS)等,对网络流量进行实时监测,以便及时发现CobaltStrike木马的活动。 2. 文件扫描:使用杀毒软件对系统文件和进程进行全盘扫描,以查找和清除CobaltStrike木马相关的文件和进程。 3. 网络流量分析:通过分析网络流量,检测是否存在与CobaltStrike木马相关的通信行为,如与CobaltStrike C&C服务器的连接等。 4. 主机行为分析:通过监控主机的行为,检测是否存在CobaltStrike木马的典型行为特征,如异常的系统进程、异常的网络连接等。 5. 漏洞修复:及时修复系统和应用程序的漏洞,以减少CobaltStrike木马利用漏洞进行入侵的可能性。 6. 安全策略加固:加强网络安全策略,限制外部访问、禁用不必要的服务、加强密码策略等,以提高系统的安全性。 7. 安全培训与意识提升:加强员工的安全培训和意识提升,提高对CobaltStrike木马网络威胁的识别和防范能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值