追踪活动中相遇CobaltStrike的故事

前言

近期笔者在追踪相关组织的过程中，自然需要浏览一些公开的样本，又无意发现了如下样本，从检出率的结果觉得可以深入分析看看。

样本分析

下载后拿到完整内容，如下。

脚本文件名命名很直接，大致看了下，可以确定是一个恶意文件了，不过没有混淆。这里提一下C#中如何判断系统的架构(32位或64位)，一种很简单的方法就是根据IntPtr类型的Size属性来判断，如下示例代码。

所以该处主要是判断当前系统的架构，当是64位的时候利用start-job开启一个后台任务，如下。

如果非64位环境，则直接执行$DoIt。现在分析一下$DoIt的代码内容，如下。

上述的代码因为涉及到异或解码过程，所以需要调试PowerShell，可通过微软自带的ISE进行调试， 然后将解密后的变量值通过管道输出至文本文件中，然后后续进行处理。步骤简要记录如下，从base64编码过的数据进行解码然后分配内存执行（属于无文件攻击活动）。

异或解密之后，如下。

将上述内容进行十六进制转换，invoke执行的内容转换为十六进制后，如下。

对其进行格式化脚本（十进制数转十六进制序列），如下。

最终获取的十六进制序列shellcode，如下。

通过静态分析，可以发现存在UA头与疑似请求的内容，不过没有IP地址。

经过代码相似度搜索，发现此payload为5个月前国外安全人员分析过的相似样本，很大概率是CobaltStrike模板产生的恶意文件，通过阅读相关内容发现相似恶意脚本曾用于攻击活动。

一般来说，上述的样本是属于最后执行的阶段，前期会通过多种混淆包装来进行安全防护软件规避。不过既然已经有解码后的样本，接下来对其进行调试。通过提取shellcode复制进ollydbg进行调试，如下。

加载wininet.dll，如下。

获取到API函数地址并调用，如下。

请求的IP地址为"123.206.112.24"，如下。

发送HTTP请求，如下。

由于是采用CobaltStrike框架产生的payload，所以下载的内容一定会在内存中执行，但是目前C&C已经失效，获取不到后续内容，于是分析结束。

溯源追踪

通过上面对恶意样本进行分析，我们拿到了C&C地址为123.206.112.24，对该地址进行溯源关联分析，发现自从2019年7月就已有相关攻击活动。该地址被用于下载凭证窃取工具mimikatz，编译时间为2019-07-21 04:57:54，利用的是官方编译的工具，地址为http://123.206.112.24/readepasswd/mimikatz_trunk/x64/mimikatz.exe。采用mimikatz的情况下，可以判定攻击者准备或者已经在对主机层面进行攻击。

2019年11月编译的样本文件名为ByPass3602.exe，从文件名可以看出这是第二次进行尝试，同时存在pdb路径为E:\VS\pass360\Debug\pass360.pdb。

接着又发现了相关联的样本会伪装成Apache组件，编译时间为2009-06-28 12:19:24，不具备参考性，不过从提交时间看最近也被人发现了。

2020年1月出现了新的样本，通信地址为123.206.112.24:6688，是个自解压格式文件，如下。

在2020年4月存在的相关联样本，名称已经变成了pass360.4.exe，说明更新到第四次了。

从上述关联到的样本整体来看，活跃时间从2019年7月至今，依然是作为下发远控隐蔽执行的方式。

威胁情报

HASH

07ac7c98e6b3286b5ef4a627663f623a

72d5f083f5b844fa2f99c44a873e251f

f01de206d9a362d0714c547930ac4916

0b84f490bc9aef2c515789cb4aef2408

afa4101c9927095083280a8ea0da23a4

9096bf03276a3afdec447b1ba475998c

85a1fecd56d6f8ef6cacac1f793f8663

URL

http://123[.]206.112.24/readepasswd/mimikatz_trunk/x64/mimikatz.exe

http://123[.]206.112.24:6667/4oOj

http://123[.]206.112.24:1112/4hrN