10个攻击队,9个在用CobaltStrike。一句话便足以概括这款黑客工具的江湖地位。
微步云沙箱如何检测出CS木马
微步云沙箱通过6大类,10个子类,总计数百条规则和检测逻辑,对CobaltStrike进行全链路的检测。其中6大类包含情报检测、静态检测、主机行为、网络行为、流量检测和日志检测。
CobaltStrike配置信息提取:
CobaltStrike网络行为检测,包含其惯用的Stage URI、C2 URI、JA3指纹、JA3S指纹,以及域前置和云函数等隐蔽通信。
为了对抗流量检测,目前大多CobaltStrike的通信都使用了HTTPS加密,而S云沙箱默认提供了全HTTPS解密能力,对于使用TLS加密通信的样本,S云沙箱能提取到样本运行时请求的域名或IP、Host,以及其他信息,用于分析检测。
此外,S云沙箱还对外提供了解密后的PCAP下载功能,方便分析师进行进一步分析。
CobaltStrike流量检测:
总之就是把样本文件分析个底朝天。
实战:微步云沙箱VS演习钓鱼、投毒样本
实战,是检验实力的唯一标准。
我们对这些钓鱼样本的诱铒关键词做了个简单整理,参见下图:
这些钓鱼样本的一部分图标如下:
演习至今,微步云沙箱已捕获到数百个HW相关CS钓鱼样本。以下是微步云沙箱对最近发生的部分实战场景下钓鱼、投毒样本的检测结果:
如何使用微步云沙箱CS检测功能
访问微步云沙箱(https://s.threatbook.com/),上传文件(不限邮件、压缩包、或解压后的文件),选择合适的分析环境,等待几分钟即可。
关于微步云沙箱
一站式样本分析平台,场景化专业云沙箱。
参考链接:
https://s.threatbook.com/report/file/a57d40b696eee61b43dd610a80ea842222a1e2e5caa65e5b510da125ccdb3aaa
https://s.threatbook.com/report/file/260818f234bf8cf402c55e06b8bc7363694139a91adb7526416e818d6f34f236
https://s.threatbook.com/report/file/77ab9b997574f0a7f632681ad8955a79691ef97c4bb039d4c02ce493575cf673
https://s.threatbook.com/report/file/daac90ef7a351ce5e17004308bb0c877decde1462fe17399c7c6587d16439a6f
https://s.threatbook.com/report/file/d837f7251b18070545d352e11762992de4cb445b65e74700ff217635357dcba2
https://s.threatbook.com/report/file/031c06d35bfdca7da03c4f36efd381256c7bc28bf05b859e5d2b3b7feccb41d5
https://s.threatbook.com/report/file/dc29f556fbd344f21fb9dec3565075f2c680e70e07080e7e4d4a2390f4d0102e
点击下方“阅读原文”
哦原文始发于微信公众号(微步在线):大量包含CobaltStrike木马的邮件袭来,如何一招甄别?
