欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

揭露cobalt gang的生成器以及基础设施的新技术

来源:本站整理 作者:佚名 时间:2018-11-05 TAG: 我要投稿

如今,高水平的攻击者能够便捷的使用商业工具和恶意软件,并以非常简单的初始传播方法来保持低调,从而远离可能的溯源。最常见的方法之一是通过使用社交工程或包含常用漏洞(例如CVE-2017-0199或ThreadKit builder)的网络钓鱼电子邮件来欺骗目标机构的员工。一旦开始感染,攻击者就会变得更高明,部署高级定制恶意软件、更高级的工具,使用living-off-the land 工具(如PowerShell,CMSTP或Regsvr32) 。
此方法使得威胁猎人和防御者如大海捞针般更难以识别攻击行动及其目标。然而,即便攻击者使用商业生成器和工具,也总是有机会找到有助于识别和跟踪行动者基础设施的特定信号或特征。其中一个以遵循这些TTP而知名的组织是Cobalt Gang,即使他们的领导人今年在西班牙被捕后,该组织依然活跃。
在2018年10月期间,Unit42一直在调查Cobalt Gang,同时利用已有研究报告中公开的最新信息,例如Talos或Morphisec描述的信息,以帮助发现与此攻击组织相关的新的基础设施。
因此,我们能够识别出常见宏生成器以及特定的文档元数据,这些元数据使我们能够跟踪和聚类与Cobalt Gang相关的新活动及基础架构。
一、最近一起有效的传播实例
正在分析的最新一个样本被用于几天前的攻击中,结果显示该组织的攻击传播非常简单。
该攻击再次强化了这一事实:电子邮件仍然是主要攻击媒介之一。该攻击首先使用主题为“于2018年10月16日确认”的电子邮件针对全球多家银行的员工。
图1中显示的样本可以在流行的公共在线恶意软件存储库中找到。
(SHA256: 5765ecb239833e5a4b2441e3a2daf3513356d45e1d5c311baeb31f4d503703e).

图1.电子邮件传播示例
附件只是一个没有任何代码或漏洞利用的PDF文档。相反,它试图使用社交工程来说服用户点击链接下载恶意宏。这是Cobalt Gang之前使用过的方法,并在之前的研究中已经讨论过,如Talos。

图2.带有嵌入链接的PDF样本
PDF很简单,嵌入了一个链接,可以打开合法的Google,并将浏览器重定向到恶意文档:

图3.浏览器重定向到恶意文档
为有效对抗静态分析工具,攻击者精心设计的PDF看起来更真实:它包含空白页面以及一些文本页面,这有助于在分析过程中不会出现警告标记,如图4和图5所示。请记住,内容页面数量少或熵高的PDF可能会在静态分析中引发可疑标记。

图4. PDF静态分析

图5.用于填充页面的PDF文本
通过采用这两种技术,该PDF几乎可以避免所有传统的AV检测,从而通过电子邮件非常有效的传播第一阶段的攻击。
如果攻击发生,用户将下载包含恶意宏的MS Word文档,该恶意宏在此行动传播时的检测率非常低。从元数据的角度来看,该文档不包含任何可帮助我们跟踪同一作者文档的特定信号或特征,如图6所示。

图6. Doc102018.doc元数据
下载的恶意宏使用cmstp.exe来运行“scriptlet”,这是一种众所周知的绕过AppLocker的技术,并继续进行有效载荷传播的下一阶段。本项研究的目的不是有效载荷分析,而是关注攻击传播的方方面面,以便进一步跟踪参与者的行动及其相关基础设施。
所以,现在的问题是——这种简单的传播方法如何帮助确定行动和目标?
二、宏生成器识别
该攻击中宏代码的检出率相当低,因此调查的第一个重点是识别可能的底层生成器。通过查看“Doc102018.doc”的宏代码,我们可以提出多种理论。
宏代码的长度超过1500行,并在开头使用非常明显的命名法声明一组变量(在此示例中,letXX(num)):

图7.宏变量格式示例
一些变量用于基于单个字符分配的长编码/解码:

图8.在解码中使用特定的变量格式
程序和函数也使用相同的命名法定义(在此示例中,letXX()):

图9. VBA代码中的过程和函数
它在运行时调用CallByName API:

图10.在VBA代码中使用CallByName
如果我们分析与Cobalt Gang相关的之前的一些样本,比如Morphisec描述的样本,也可以观察到此模式(在该例中,使用PkXX而不是letXX):

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载