近期毒霸安全团队监测到Cobalt Strike远控告警激增,数小时内高达百起。Cobalt Strike作为一款后渗透工具,一般用于定向攻击特定目标,较少出现大范围感染。溯源发现这些用户从仿冒的SEM落地页:“http://zky[.]hfyswlkj[.]top”下载了名为:“百度云盘安装包.exe”,”网盘安装包.exe”,”钉钉安装包.exe”的恶意程序。通过关键字:“百度网盘下载”,”钉钉下载”,”office”, “pdf”等在搜索引擎上找到多个页面一致的最新SEM仿冒站点,且排行在第一位置,下载的都为携带远控的恶意程序,但未发现包含Cobalt Strike。
深入告警数据挖掘发现存在时间点的聚集,当时用户访问的SEM落地页只在特定的时间段才能下载到携带Cobalt Strike的恶意程序。传播时间点共出现3次,每次持续时间在1~2小时左右,可以看出黑产团伙在小范围测试。
下载的恶意程序使用pyinstaller打包器打包,并使用vmprotect和themida强壳保护,解包后的核心pyd模块也同样使用强壳保护对抗分析。原始安装包还拥有有效的数字签名,这也使得它的免杀效果大幅提升。运行后最终会执行Cobalt Strike 的Http Stager Shellcode,再拉取beacon后门模块在内存中执行,最新版本还同时携带了”大灰狼“远控模块。
样本分析
7月27日传播的样本使用themida加壳,且添加无效签名。
7月31日和8月1日传播的具有有效数字签名:”CleverSoar Electronic Technology Co., Ltd.”
以有签名为例,样本使用pyinstaller打包,解包后内部核心功能编译成pyd,并使用vmp加壳保护。运行后会复制自身到临时目录下为”d2dAdawdc30u9ex.exe”再执行,随后在内存中释放出两段shellcode, 一个用于加载CS beacon, 另一个加载”大灰狼”远控。整个流程如下:
CS stager与C2:”http://update[.]youjucan[.]com:2271/jquery-3.3.1.slim.min.js”通讯下载beacon模块,CS服务端配置了staging process(分段过程)模仿jQuery请求,Beacon payload被混合到jQuery javascript文本块中。
payload执行后自解密出beacon模块,但beacon模块被特殊处理,代码段、导入表函数名和导入dll名都被异或加密,加载器加载时会动态解密修复,并去除pe头,防止内存扫描。
除了加载CS外还有一个分支负责内存加载”大灰狼”远控变种,而在7月25日的版本中并未发现。“大灰狼”使用的是外部流传较广的 “V9.5″版本,通讯C2:”xy1.youjucan[.]com”。
IOC:
C2:
zky.hfyswlkj[.]top
update.youjucan[.]com:2271
xy1.youjucan[.]com
143.92.53.167
md5:
e242ca6cc42037a611704d1a3d44aa6a
cf275313b61ff8a499b7b663edad1571
117164443ecd1475bd76b22b32eb7012
aca89aff6f48217465078cb4105bdc67
原文始发于微信公众号(鹰眼威胁情报中心):黑产团伙利用SEM渠道投放CS远控木马