性之诱饵恶意软件分析：借助军事相关诱饵文档传播Cobalt Strike( 二 ) 恶意

恶意宏将执行以下恶意活动:
1.将Windows可执行文件的硬编码字节解析为可以写入磁盘文件的字节。
2.解析后的字节将被写入当前登录用户的启动目录，形成一个EXE文件:
% userprofile %AppData 漫游 MicrosoftWindows 开始菜单程序启动任何东西. exe
3.一旦恶意EXE被写入用户的启动目录，宏将退出执行，而不是实际的第二阶段有效负载。
4.一旦用户再次登录或重新启动系统，受感染终端上的第二阶段有效负载将被激活。
5.攻击中使用的第二阶段Payload是用户定义的Dropper，它可以执行一系列任务。
恶意宏代码:

文章图片

3.4恶意文档的分发
攻击者于2020年1月23日通过使用Bit.ly短URL服务创建了一个缩短的URL，该URL被重定向到恶意文档的真实URL地址。
攻击者很可能在公共服务器上托管恶意文档，并通过鱼叉式网络钓鱼电子邮件的方式将原始网址或短网址分发给目标用户。这样，可以绕过安全软件来检查电子邮件附件的安全性。
4.Dropper二进制文件的IndigoDrop分析
恶意文档负责将第二阶段的二进制文件放在磁盘上。这是一个恶意的启动/加载工具，我们称之为“IndigoDrop”。该工具可以从另一个远程位置下载并激活定制的钴击。
在进行深入分析之前，我们首先列出IndigoDrop的一些关键特性:
1.这是一个高度模块化的恶意工具。IndigoDrop通常包含三个硬编码位置，可用于下载和激活下一阶段的Payload。
2.在这次攻击中，IndigoDrop使用攻击者操纵的远程位置和公共数据托管平台来托管下一阶段的Payload。这个交付工具可能会从这些远程位置下载最终的有效负载，就像其他变体中使用的方法一样。
Base64编码后的MetaSploit外壳代码:
Base64解码后的MetaSploit外壳代码:

文章图片

分析IndigoDrop后，我们发现交付工具在终端上执行以下操作:
1.在注册表中，为自己创建持久性:
HKCU 软件微软视窗当前版本运行| explorer = cmd/a/202112/on boot-hide
2.在2A阶段下载并执行MetaSploit Shellcode。
3.检查当前用户名、计算机名、Shellcode所在的父文件夹名、主机MAC地址和公共网络IP地址。如果这些值中的任何一个与黑名单匹配，IndigoDrop将被推出。在最后一章“威胁指示器”中，我们列出了黑名单中包含的值。
动词 MetaSploit下载工具外壳代码分析
MetaSploit Shellcode是一个经过修改的反向HTTP阶段工具，用于从特定的下载位置下载恶意文件。2A阶段使用的Shellcode通常托管在一个公共网站上，比如pastebincom。
这里下载的恶意文件通常是木马jquerymin.js文件的副本。恶意jQuery文件包含:
1.文件顶端和末端的合法JavaScript代码。
2.文件特定偏移位置包含的另一个外壳代码。
MetaSploit HTTP阶段工具按顺序执行以下操作:
1.连接到由恶意攻击者控制的IP地址；
2.将恶意jquery-3.3.0.minjs文件下载到可执行内存位置；
3.跳转到jquery文件中嵌入的恶意Shellcode，然后在3A阶段开始执行恶意文件。
恶意的jQuery文件如下: