6月中旬，Malwarebytes Labs的研究人员发现了一个伪装成简历的恶意Word文档，该文档使用模板注入来删除.Net Loader。研究人员认为这是与APT攻击有关的多阶段攻击的第一部分。在最后阶段，威胁行动者使用了Cobalt Strike’s Malleable C2功能来下载最终的有效载荷并执行C2通信。

此攻击特别“聪明”是因其规避技术。例如，研究人员观察到在恶意Word宏执行有效payload时有故意延迟。这种攻击的目标不是立即损害受害者，而是要等他们重新启动计算机后再进行攻击。另外，通过将shellcode隐藏在无害的JavaScript中并且不接触磁盘的加载它，该APT可以进一步逃过安全产品的检测。

一、诱使延迟代码执行

诱饵文件可能是通过鱼叉式网络钓鱼电子邮件分发的，该电子邮件是据称是“ Anadia Waleed”的人的简历。起初，原作者认为它的目标是印度，但目标受害者可能会更广泛。

图1：简历

恶意文档使用模板注入，从以下URL下载远程模板：

https://yenile[.]asia/YOOMANHOWYOUDARE/indexb.dotm

图2：模版注入

用于托管远程模板的域名于2020年2月29日由来自香港的某人注册，该文档的创建时间是在此域名注册后15天。

下载的模板“ indexa.dotm”具有一个包含五个函数的嵌入式宏：

• Document_Open

• VBA_and_Replace

• Base64Decode

• ChangeFontSize

• FileFolderExist.

下面是嵌入宏的函数调用图：

图3：宏函数图

主要函数是DOCUMENT_OPEN，它在打开文件时执行。此函数将三个文件放入受害者的计算机：

• Ecmd.exe UserForm1和UserForm2包含两个Base64编码的有效payload。根据受害者计算机上安装的.Net框架的版本，UserForm1(对于.Net v3.5)或UserForm2(其他版本)的内容将被解码并存储在“ C:\ ProgramData”中。

• cf.ini “cf.ini”文件的内容是从UserForm3提取的，并且使用AES加密，稍后由ecmd.exe解密。

• ecmd.exe.lnk 这是“ ecmd.exe”的快捷文件，在Base64解码UserForm4的内容后创建。该文件作为触发器和持久性机制放置在“启动”目录中。只有在计算机重新启动后，才会执行Ecmd.exe。

图4：DOCUMENT_OPEN

图5：自定义base64解码函数

ChangeFontSize和VBA_AND_REPLACE函数不是恶意的，可能是从公共资源[1，2]复制来误导静态扫描程序。

公共资源1，2:

• http://www.your-save-time-and-improve-quality-technologies-online-resource.com/vba-and-replace.html

• https://www.vitoshacademy.com/vba-ms-word-tricks-with-vba/

二、中间装载机

Ecmd.exe是伪装成ESET命令行实用程序的.Net可执行文件。下图显示了二进制证书、调试器和版本信息。该可执行文件已使用无效的证书签名以模拟ESET，其版本信息显示这是一个“ESET命令行界面”工具(图6-图8)。

图6：证书信息

图7：版本信息

图8：调试信息

ecmd.exe是一个小型加载程序，用于解密和执行前面提到的AES加密的cf.ini文件。它通过向“http://ip-api.com/xml”发出HTTP post请求来检查受害者机器所在国家。然后，它解析XML响应数据并提取国家代码。

图9：Getcon函数：向“ip-api.com”发出http post请求

图10：ip-api.com 输出

如果国家代码是“RU”或“US”，则退出；否则，它开始使用硬编码密钥和IV对解密“cf.ini”的内容。

图10：ecmd.exe主函数

解密的内容被复制到分配的内存区域，并使用VirtualAlloc和CreateThread API作为新线程执行。

图11：runn函数

三、ShellCode (cf.ini)

可扩展C2是攻击者为了避免被发现而混淆指挥和控制通信(受害者和服务器之间的信标)的一种方式，可以为每个目标创建自定义配置文件。

shell代码使用带有jQuery可延展性C2配置文件的Cobalt Strike可延展性C2特性从“time.updateeset[.]com”下载第二个有效payload。

图12：可延展的C2请求

Shellcode首先使用PEB查找ntdll.exe的地址，然后调用LoadLibrayExA加载Winint.dll。然后它使用InternetOpenA，InternetConnectA，HttpOpenRequestA，InternetSetOptionA和HttpSendRequestA API来下载第二个有效payload。

API调用在两个循环内解析，然后使用跳转到解析的API调用的地址来执行。

图13：构建API调用

恶意payload由InternetReadFile下载并复制到分配的内存区域。

图14：InternetReadFile

考虑到通信是通过HTTPS进行的，Wireshark并不能发现恶意payload，Fiddler也不能提供有效payload。

图15：Fiddler输出

使用BurpSuite代理，能够成功验证并捕获从time.updateeset[.]com/jquery-3.3.1.slim.min.js下载的正确有效payload。如图16所示，有效payload包含在HTTP响应中返回的jQuery脚本中：

图16：发生在jQuery末尾的有效负载

将有效payload复制到内存中的缓冲区后，shellcode跳到缓冲区的开始处并继续执行。这包括向“time.updateeset[.]com/jQuery-3.3.1.min.js”发送连续的信标请求，并等待来自C2的潜在命令。

图17：C2通信

使用Hollow Hunter，我们能够从ecmd的存储空间中提取最终的有效payload，即Cobalt Strike。

四、溯源

这起攻击的确切溯源分析正在进行中，在这里提供一些关于谁可能是这起攻击的幕后黑手的见解。分析显示，袭击者排除了俄罗斯和美国。前者可能是一个虚假的信号，而后者可能是为了避免美国恶意软件分析师的注意。

如前所述，托管远程模板的域名是在香港注册的，而C2域名“time.updateeset[.]com”是在2020年2月29日以一家名为Ehtesham Rayan的伊朗公司的名称注册的。该公司过去提供反病毒软件，现在似乎已经关闭。然而，这些都不是强有力或可靠的溯源指标。

图18：updateeset.com whois注册信息

IOCs

Anadia Waleed resume.doc
259632b416b4b869fc6dc2d93d2b822dedf6526c0fa57723ad5c326a92d30621

Remote Template: indexa.dotm
7f1325c5a9266e649743ba714d02c819a8bfc7fd58d58e28a2b123ea260c0ce2

Remote Template Url:
https://yenile[.]asia/YOOMANHOWYOUDARE/

C2:
time.updateeset[.]com

Ecmd.exe:
aeb4c3ff5b5a62f5b7fcb1f958885f76795ee792c12244cee7e36d9050cfb298
dcaaffea947152eab6572ae61d7a3783e6137901662e6b5b5cad82bffb5d8995
5f49a47abc8e8d19bd5ed3625f28561ef584b1a226df09d45455fbf38c73a79c

cf.ini:0eba651e5d54bd5bb502327daef6979de7e3eb63ba518756f659f373aa5f4f8b

Cf.ini shell-code after decryption:5143c5d8715cfc1e70e9db00184592c6cfbb4b9312ee02739d098cf6bc83eff9

Cobalt Strike downloaded shellcode:8cfd023f1aa40774a9b6ef3dbdfb75dea10eb7f601c308f8837920417f1ed702

Cobalt Strike payload7963ead16b6277e5b4fbd5d0b683593877d50a6ea7e64d2fc5def605eba1162a

原文：https://blog.malwarebytes.com/threat-analysis/2020/06/multi-stage-apt-attack-drops-cobalt-strike-using-malleable-c2-feature/

编译：CNTIC情报组

本文为CNTIC编译，不代表本公众号观点，转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。