文章目录

前言
简历钓鱼
CS场景检测
- 域前置
行为检测
多引擎检测
动态分析
- 进程详情
- 网络行为
- 释放文件
处置建议

前言

前几天看到一篇关于近期钓鱼邮件的情况统计的文章，挺有意思
https://mp.weixin.qq.com/s/8WIz9-w7xjh8mVaDItYcPw

然后在逛某威胁情报社区的时候，看到了一个恶意url，也挺有意思

子域名伪装成某安全公司hhh，然后看了下与之有关的通信样本

好家伙全是钓鱼文件，免杀做的还不错，最近几天不知道为什么异常频繁

于是就点进去几个看了看，分析分析这种是怎么实现cs上线的(纯小白，勿喷)

下面所有分析均为在线沙箱进行测试的结果，没接触过二进制方向，电脑上没有相关工具……

简历钓鱼

先看到的是一个北京大学的简历，现在是已经被定义为恶意了，并且被标记为CobaltStrike木马

样本的hash值放下面了，大家也可以自己去看一下

SHA256:
b7ff62f3bf717ea0fa6a0b423c77969eb93a4b0fdf9ba3bd3d655ff7249ed9d2
MD5:
13ac80870f36b12e7e67a433dcb6fb25
SHA1:
5b47e0ca06c4b40ac947e01b5c2cc6af2da2942b

CS场景检测

先看一下沙箱的CS场景检测的结果

在静态检测的结果里面，是匹配到了三条CobaltStrike的Yara规则。

YARA规则是VT发布的，用于样本的批量检索和查杀，目前很多知名软件也使用YARA。
其中YARA规则常以hash（文件的hash或导入表之类的hash）、PE头、pdb、全局字符串、互斥体、特定的函数等信息作为特征。

详细的Yara规则，可以见这篇文章https://blog.csdn.net/qq_36090437/article/details/79911375

在这个钓鱼邮件的网络行为结果中，是检测到了攻击者使用了域前置方法，来隐藏了自己的真实ip

找到了与隐藏IP同CDN下的一个网站(chaitin.cn) 作为host （相关URL）搜了下是某亭hhh

域前置

域前置是一个隐藏连接真实断点来逃避追查的方法。

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输

现在在https的协议中，HHTP层里面写A站点，但是在TLS层的SNI主机写B站点，暴露在外面的是B站点。

简单来说，正常请求一个网址的真实ip为，向该站点的CDN请求其IP。

使用了域前置方法的请求流程为，向A站点的CDN服务器请求B站点的IP (B站点写在http层，由tls包裹，请求的CDN是A的CDN，在CDN上就是请求B站点的IP)

就是到TLS上写的站点的CDN服务器，请求最里层写的网站的IP

下面一张图片很好的解释了域前置的效果

详细的域前置知识，以及如何实现Cobalt Strike隐藏真实ip上线powershell见这篇文章：https://blog.csdn.net/weixin_44604541/article/details/118413649

而一开始发现的网站，也正是一个腾讯云的CDN：*.cdn.dnsv1.com

搜索该后缀即可发现为腾讯云CDN的后缀

行为检测

在行为检测分析结果中，主要来看高危和可疑的几个行为

在恶意行为特征中，命中了三条CobaltStrike的相关Yara规则，证实了为CobaltStrike的木马

在系统敏感操作中，创建了一个whoami的cmd进程(名字叫360sd.exe)

启动了两个进程，除了创建的360sd.exe，还用微软的PDF阅读器打开了真正的简历文件

acrord32.exe是Adobe Acrobat Reader阅读器的一部分。该进程用于打开和察看PDF文档。

在可疑行为中，可以看到创建了shell，使用域前置通信等等，除了这些，还发现了进行了改变文件属性的操作

多引擎检测

可以看出这个师傅的免杀做的还是很好的，dlddw

动态分析

下面为在真实环境中运行的动态分析

进程详情

可以看到它一共的13个进程，下面来挨个看一下大致都执行了什么操作

首先第一阶段是启动简历的快捷方式

第二个为执行__MACOSX.DOCX\1.bat文件

第三个阶段为复制文件，将解压文件夹下的wda.tmp、mbp.tmp两个复制至C:\Users\Public目录下\

第四阶段为改变文件的属性 (不明白为什么用-，不应该是+隐藏属性吗？)

第五阶段为释放了一个新进程，并执行了whoami命令

第六阶段为使用系统自带的pdf阅读器打开简历pdf文件

网络行为

捕捉到的域名和IP基本上都是CDN的地址，并不是攻击者的真实ip，还是被他逃掉了，可恶

释放文件

在这里是可以看到释放了两个文件，并移动至了C盘下

处置建议

该文件为恶意文件，请您立即删除或隔离此文件。如果已在您的主机运行，建议您进行如下操作：

删除下面两个文件：
C:\Users\Public\wda.tmp
C:\Users\Public\mbp.tmp

一次偶然的CobaltStrike木马钓鱼邮件分析相关推荐

记一次钓鱼邮件分析过程
今天打开邮件,无意中发现了一封全英文的报价信息邮件,附件是 html 的网页文件.NND,我们就一个破小公司充其量也就做几单本地业务哪来的国际大单呢,嘿嘿,既然人家给咱报价了,来而不忘非礼也.那就动手 ...
cobaltstrike安装_Cobalt Strike发送钓鱼邮件
Hello大家好哇,我是你们可爱的lmn小姐姐,今天我们来研究一下如何使用Cobalt Strike发送钓鱼邮件. 使用CS钓鱼需要四个步骤: 1. 创建一个目标列表 2. 创建一个钓鱼模版 3. 选 ...
信息收集——网站克隆和钓鱼邮件
普及网站克隆方法和邮件伪造原理和方法网站克隆复制目标网站前端信息构建相似网页获取用户登录数据方法 cotaltstrike能够快速复制目标网站前端页面,并且复制相识度极高 cotaltstr ...
敲诈勒索比特币不断，企业用户如何防“山寨”钓鱼邮件
作者:网易安全部|薛帅欢迎访问网易云社区,了解更多网易技术产品运营经验. 先做个类比,如果把钓鱼邮件和卖假包的做个比较,你会想到什么: 两者都是看中了你口袋里的人民币, 卖假包,就是利用高仿的包包迷 ...
钓鱼基础设施的应用分析（钓鱼邮件利用、Gophish）
钓鱼常用字符替换集 0x00 前言邮件钓鱼攻击是一种常见的网络攻击方法,无论是广撒网式的"大海捞鱼",还是极具精准化.定制化的鱼叉式钓鱼,都越来越普遍. 在红蓝模拟对抗的场景下, ...
美团员工被指用钓鱼邮件获拼多多薪资；华为回应暂无其它手机厂商接入HarmonyOS；GCC 放弃版权转让政策|极客头条...
「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 整理 | 梦依丹出品 | CSDN(ID:CSDNnews ...
钓鱼邮件从入门到放弃
目录钓鱼邮件从入门到放弃一.钓鱼邮件的基本概念 1.1 钓鱼邮件的伪造方式 1.1.1 购买域名搭建邮箱服务器 1.1.2 伪造发件人 1.2 三个邮件安全协议 1.2.1 SPF 1.2.2 D ...
linux钓鱼邮件,钓鱼邮件传播勒索病毒再升级，不落地加大查杀难度
0×1 概况钓鱼邮件作为传播勒索病毒的常用手段,通常在邮件正文利用"社工手段"诱使用户点击邮件附件,附件的文档内容诱使用户开启宏.用户一旦将宏开启,文档中所包含的恶意宏代码即自动 ...
记一次对钓鱼邮件的分析
0x01.前言前几天收了个钓鱼邮件,由于一直有各种事情,没有做完整的分析,趁着周末,理了理分析思路,整理一篇博客与大家分享事情是这样的,突然qq邮箱收到一个来源自我的一个群发的通知.至于为什么发现 ...

一次偶然的CobaltStrike木马钓鱼邮件分析