一.概述
近日,思科Talos团队观察到一个恶意软件活动,利用带有军事相关话题的恶意微软Office文档,传播具有完整RAT功能的钴击。这些恶意文档包含用于多阶段和高度模块化感染活动的恶意宏。这种恶意活动似乎针对南亚的军事和政府组织。为了有效应对这种威胁,我们应该使用基于网络的检测产品,并将其与终端保护产品相结合,提供多层安全保护。
二.攻击活动概述
2.1特征
在思科Talos此次发现的新恶意活动中,攻击者利用定制的codio Strike分阶段进行多层攻击,最终感染目标终端。考虑到此次攻击中使用的恶意文档主题,我们认为南亚的军事和政府组织很可能成为此次攻击的目标。
2.2工作模式
攻击使用高度模块化的Dropper可执行文件,我们称之为“IndigoDrop”。攻击者使用恶意文档,并将文件放在受害者的终端上。IndigoDrop从指定的下载网址下载最终的有效负载并部署它。我们发现攻击活动中使用的最终有效载荷实际上是钴打击。
在本文中,我们将主要分析恶意文档、IndigoDrop和Cobalt Strike组件的核心技术功能,包括:
1.基于恶意文档的感染链;
2.IndigoDrop的功能;
3.用于下载受感染组件的通信机制和基础设施;
4.钴撞击的详细配置。
2.3攻击思路
在这次攻击中,它展示了攻击者如何实施有针对性的攻击:
1.攻击者使用看起来合法的诱饵诱使目标打开恶意文档;
2.采用高度模块化的感染链感染最终的有效载荷;;
3.现有的攻击性框架用于在网络中建立控制和实现持久性,使得攻击者不需要开发定制的远程控制木马。
根据最近发现的攻击链的变化,我们可以判断这种威胁的演化过程。进化过程表明,攻击者不断强化逃避检测的策略和技术。这一恶意活动也表明,虽然基于网络的检测非常关键,但网络层的检测能力应该通过分析系统行为特征和部署终端保护产品来补充,以提供额外的安全性。
三、恶意文档分析
在这次攻击中,有两种技术被用来传递要在目标终端上执行的恶意宏:
1.在文档中嵌入恶意宏,打开文档后直接执行;
2.将恶意宏作为外部链接模板的一部分,先下载恶意宏,然后注入到原始恶意文档中。
3.1恶意文档使用的诱饵
攻击者将恶意文件伪装成政府内部文件或军事文件。例如,我们发现一些恶意文档是“事件行动计划”文件,其中记录了印度空陆军的IT基础设施保障程序。
这些恶意文档的文件名包括:
包含嵌入的恶意宏
IAP 39031 . docx-使用模板注入技术
恶意文档诱饵的内容如下:
文章图片
3.2诱饵文件的来源
此前,我们观察到的很多恶意文档往往只包含几页诱饵内容,以增强其真实性,进而进行有针对性的攻击。但是,在这次攻击中,使用的诱饵文档包含完整的法律内容,大约64页,15000字,这将使诱饵文档看起来更加真实。我们还在网络中发现了一个原始文档,其中不包含恶意代码,这表明攻击者很可能会根据原始文档将其武器化,并分发给潜在的受害者。
【性之诱饵 恶意软件分析:借助军事相关诱饵文档传播Cobalt Strike】原始文档的哈希值:0d 16 b 15972d 3d 0 F8 a 1481 B4 e 2413 a 2c 519 E8 AC 49 C2 BF3 FCA 02 CFA 3 ff 0 be 532
3.3恶意VBA分析
根据两个不同示例中使用的不同技术,我们分析了本地嵌入的恶意宏代码和从远程位置下载的注入模板中使用的恶意宏代码。
推荐阅读
- 异性之间发生了身体亲密关系,是否会成为恋人?
- 钓的重点是诱饵
- 异性之间经常对视是偶然还是必然?
- 异性之间,最不能聊的五种话题,尤其是最后一个!
- 异性之间,关系一旦不纯洁了,就会有这五种现象!
- 异性之间,女人对你动了情,十有八九会这样
- 为蚊子准备的甜菜诱饵有用吗?
- 李晨朋友圈截图 勿恶意解读!卜柯文晒李晨朋友圈截图 5:20写下生日祝福
- 豆瓣刷分 《流浪地球》遭恶意刷低分 豆瓣宣布修改评分机制
- 代拍是什么意思 杨幂遭代拍恶意拍摄是怎么回事?什么情况?终于真相了,原来是这样!