现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

0x00 前言

好家伙全是钓鱼文件，免杀做的还不错，最近几天不知道为什么异常频繁。

于是就点进去几个看了看，分析分析这种是怎么实现cs上线的（纯小白，勿喷）

下面所有分析均为在线沙箱进行测试的结果，没接触过二进制方向，电脑上没有相关工具……

样本的hash值放下面了，大家也可以自己去看一下

SHA256:b7ff62f3bf717ea0fa6a0b423c77969eb93a4b0fdf9ba3bd3d655ff7249ed9d2MD5:13ac80870f36b12e7e67a433dcb6fb25SHA1:5b47e0ca06c4b40ac947e01b5c2cc6af2da2942b

0x02 CS场景检测

YARA规则是VT发布的，用于样本的批量检索和查杀，目前很多知名软件也使用YARA。其中YARA规则常以hash（文件的hash或导入表之类的hash）、PE头、pdb、全局字符串、互斥体、特定的函数等信息作为特征。

https://blog.csdn.net/qq_36090437/article/details/79911375

在这个钓鱼邮件的网络行为结果中，是检测到了攻击者使用了域前置方法，来隐藏了自己的真实ip

找到了与隐藏IP同CDN下的一个网站(chaitin.cn) 作为host （相关URL） 搜了下是某亭hhh

域前置

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输，现在在https的协议中，HHTP层里面写A站点，但是在TLS层的SNI主机写B站点，暴露在外面的是B站点。

简单来说，正常请求一个网址的真实ip为，向该站点的CDN请求其IP。

使用了域前置方法的请求流程为，向A站点的CDN服务器请求B站点的IP (B站点写在http层，由tls包裹，请求的CDN是A的CDN，在CDN上就是请求B站点的IP)

就是到TLS上写的站点的CDN服务器，请求最里层写的网站的IP

下面一张图片很好的解释了域前置的效果

详细的域前置知识，以及如何实现Cobalt Strike隐藏真实ip上线powershell见这篇文章：

https://blog.csdn.net/weixin_44604541/article/details/118413649

而一开始发现的网站，也正是一个腾讯云的CDN：*.cdn.dnsv1.com；搜索该后缀即可发现为腾讯云CDN的后缀

在行为检测分析结果中，主要来看高危和可疑的几个行为；在恶意行为特征中，命中了三条CobaltStrike的相关Yara规则，证实了为CobaltStrike的木马

在系统敏感操作中，创建了一个执行whoami的cmd进程(名字叫360sd.exe)；

进程详情

1. 首先第一阶段是启动简历的快捷方式2. 第二个为执行__MACOSX.DOCX\1.bat文件3. 第三个阶段为复制文件，将解压文件夹下的wda.tmp、mbp.tmp两个复制至C:\Users\Public目录下\4. 第四阶段为改变文件的属性 (不明白为什么用-，不应该是+隐藏属性吗？)5. 第五阶段为释放了一个新进程，并执行了whoami命令6. 第六阶段为使用系统自带的pdf阅读器打开简历pdf文件

网络行为

释放文件

在这里是可以看到释放了两个文件，并移动至了C盘下

该文件为恶意文件，请您立即删除或隔离此文件。如果已在您的主机运行，建议您进行如下操作：

删除下面两个文件

C:\Users\Public\wda.tmpC:\Users\Public\mbp.tmp

文章来源：CSDN博客（sec0nd_）原文地址：https://blog.csdn.net/weixin_52444045/article/details/126124857

 还在等什么？赶紧点击下方名片开始学习吧！

推 荐 阅 读