【恶意文件】使用IM传播CS的钓鱼活动分析
2023-9-18 19:3:0 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

事件名称:

使用IM传播CS的钓鱼活动分析

威胁类型:

后门

简单描述:

近日,深盾实验室在运营工作中发现攻击者通过即时聊天软件传播Cobaltstrike。

恶意文件描述

近日,深盾实验室在运营工作中发现攻击者通过即时聊天软件传播Cobaltstrike。

事件分析

传播途径:攻击者通过即时聊天软件进入与目标人员相关的群聊,以获取目标人员的信息和行为习惯。一旦攻击者确定了目标人员,他们会通过私聊的方式向目标人员发送伪装成看似合法的文件,以引诱目标人员点击下载。

视觉欺骗:发送的钓鱼文件是一个归档文件,归档文件是一种将多个文件或文件夹打包成一个单一文件的压缩文件格式。在该文件中,包含了一个文件夹和一个快捷方式。快捷方式是一种指向其他文件或文件夹的链接,可以通过单击它来快速访问目标文件或文件夹。在这个归档文件中,快捷方式通过explorer.exe执行了__MACOSX目录下的MicrosoftOffice.exe文件。__MACOSX目录是Mac OS X系统中的一个隐藏目录,用于存储Mac OS X系统中的元数据信息,攻击者使用此目录名可以大大降低受害者的戒备,同时该目录加了系统属性,在Windows操作系统中,文件夹选项中的隐藏受保护的操作系统文件(推荐)选项默认是勾选的。这意味着操作系统文件和文件夹将被隐藏,以防止用户误删或更改这些文件,从而导致系统出现问题。如果取消勾选该选项,用户就可以查看这些文件和文件夹,包括__MACOSX目录和其中的exe文件。

而且exe采用Word图片作为本程序的图标,并以MicrosoftOffice作为文件名尽可能的模拟常用的可信程序,让看到该文件的人放松警惕从而增加钓鱼成功的机率。

防御对抗:程序使用golang编写并使用动态加载库函数的方式减少样本静态特征,golang编译的程序本身也具备一定的免杀能力。程序在运行的时候会创建可读可写可执行的内存释放指令:

也会进行长Sleep来对抗沙箱分析:

随后循环连接C2地址

IOC

update.kdocs.cn.ctfs36jz.aidns.host

dab458c5c993e62e2203e7b86ffbf6c1

解决方案

处置建议

1、不要打开来历不明的邮件及其里面的附件或链接。

2、通过即时通讯软件发送的文件需要确认无毒之后再打开。

3、安装杀软并保持更新。

深信服解决方案

【深信服统一端点安全管理系统aES】

已支持查杀拦截此次事件使用的病毒文件。aES全新上线“动静态双AI引擎”,静态AI能够在未知勒索载荷落地阶段进行拦截,动态AI则能够在勒索载荷执行阶段进行防御,通过动静态AI双保险机制可以更好地遏制勒索蔓延。请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本。

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247520676&idx=3&sn=414e6ea5e4e1cffef348ed7b9f061f6d&chksm=ce461ab4f93193a2032f0dd32ea30c0d714103da22a8af7a2aaff656c63a876fa1384140a676&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh