威胁类型:
后门
简单描述:
近日,深盾实验室在运营工作中发现攻击者通过即时聊天软件传播Cobaltstrike。
恶意文件描述
近日,深盾实验室在运营工作中发现攻击者通过即时聊天软件传播Cobaltstrike。
事件分析
传播途径:攻击者通过即时聊天软件进入与目标人员相关的群聊,以获取目标人员的信息和行为习惯。一旦攻击者确定了目标人员,他们会通过私聊的方式向目标人员发送伪装成看似合法的文件,以引诱目标人员点击下载。
视觉欺骗:发送的钓鱼文件是一个归档文件,归档文件是一种将多个文件或文件夹打包成一个单一文件的压缩文件格式。在该文件中,包含了一个文件夹和一个快捷方式。快捷方式是一种指向其他文件或文件夹的链接,可以通过单击它来快速访问目标文件或文件夹。在这个归档文件中,快捷方式通过explorer.exe执行了__MACOSX目录下的MicrosoftOffice.exe文件。__MACOSX目录是Mac OS X系统中的一个隐藏目录,用于存储Mac OS X系统中的元数据信息,攻击者使用此目录名可以大大降低受害者的戒备,同时该目录加了系统属性,在Windows操作系统中,文件夹选项中的隐藏受保护的操作系统文件(推荐)选项默认是勾选的。这意味着操作系统文件和文件夹将被隐藏,以防止用户误删或更改这些文件,从而导致系统出现问题。如果取消勾选该选项,用户就可以查看这些文件和文件夹,包括__MACOSX目录和其中的exe文件。
而且exe采用Word图片作为本程序的图标,并以MicrosoftOffice作为文件名尽可能的模拟常用的可信程序,让看到该文件的人放松警惕从而增加钓鱼成功的机率。
防御对抗:程序使用golang编写并使用动态加载库函数的方式减少样本静态特征,golang编译的程序本身也具备一定的免杀能力。程序在运行的时候会创建可读可写可执行的内存释放指令:
也会进行长Sleep来对抗沙箱分析:
随后循环连接C2地址:
IOC
update.kdocs.cn.ctfs36jz.aidns.host
dab458c5c993e62e2203e7b86ffbf6c1
处置建议
1、不要打开来历不明的邮件及其里面的附件或链接。
2、通过即时通讯软件发送的文件需要确认无毒之后再打开。
3、安装杀软并保持更新。
转载来源:http://www.hackdig.com/09/hack-1100873.htm
图片来源网络侵权可联系删除