性之诱饵恶意软件分析：借助军事相关诱饵文档传播Cobalt Strike( 四 ) 恶意

1.收集初始系统信息并将其发送到C2服务器。
2.从受感染的系统中提取凭据，并将其打印到控制台。
Sysinfo收集Python模块的功能:

文章图片

另一个Python模块负责从以下应用程序窃取保存在终端上的凭据:
谷歌Chrome
微软边缘
歌剧
Mozilla Firefox
WiFi凭据
攻击者的身份盗窃模块:

文章图片

X.攻击活动的演变
我们发现了几种使用MetaSploit Shellcode进行攻击的变体，最终会激活最终的有效载荷，也就是钴击。在本章中，我们将展示攻击的演变以及攻击者在不同阶段对其功能的修改。
10.1 2018年4月-未使用滴管
这是发现的第一个攻击变种。在这个威胁中，它仍然来自包含恶意宏的恶意文档。放在磁盘上的有效载荷是一个”。crt "文件。恶意宏使用“certutil”对文件进行解码，得到下一阶段的Payload二进制文件，然后在目标终端上执行该文件。
恶意宏激活的有效负载不是Dropper。在这个早期的变体中，中间的滴管没有被用来下载和激活最终的有效载荷。
相反，终端上恶意宏解码执行的二进制文件只是一个基于SMB的钴击。这个SMB版本的有效负载继续出现在2019年9月创建的恶意文档中。
2019年5月10.2日-钴撞击宏
大约在2019年5月，攻击者测试了由钴打击生成的基于VBA宏的舞台工具的使用。攻击链包括一个嵌入宏的恶意文档，可以将硬编码的MSF下载工具Shellcode注入合法的32位进程。
用于将Shellcode注入rundll32.exe的宏代码将与本地服务器192168.146.137/eKYS通信，以测试它是否被感染:

文章图片

10.3 2019年9月-测试样品和嵌入式MSF外壳代码
攻击者试图从2019年9月开始定制Dropper，并使用了一个新模块——Metasploit下载工具Shellcode。
MetaSploit下载工具Shellcode嵌入在测试示例中，并连接到本地IP地址以下载第三阶段的有效负载。这里看到的滴管是最早发现的IndigoDrop实例。
MetaSploit下载工具连接到滴管中的本地IP:

文章图片

10.4 2019年9月-批量生成恶意样本和嵌入的MSF Shellcode
攻击者最终在2019年9月确定了攻击基础架构结构，并开始分发IndigoDrop样本。这些Dropper基于最早的测试样本，也包含非常类似的嵌入式MSF下载工具Shellcode。这些Dropper现在将连接到攻击者操纵的公共IP，以下载第三阶段的有效负载。
10.5 2019年9月-使用Python下载工具，但不使用MSF Shellcode
2019年9月底，攻击者开始采用另一种感染策略——基于Python+ EXE的下载工具/交付工具。
这些滴管包含几个阶段，包括:
1.实际的Dropper是一个恶意的EXE文件；
2.这个Dropper会把嵌入的DLL提取出来放在磁盘上；
3.然后，Dropper使用rundll32.exe激活DLL；
4.DLL下载第三阶段有效载荷；来自攻击者操作的服务器；
5.DLL使用python27.dll库用最小化的Python代码来完成这个操作。
这些Dropper没有像它们的前辈那样利用嵌入式MSF Shellcode。相反，Shellcode托管在由攻击者控制和操纵的服务器上。
Python库在下载工具中执行的Python代码:
Base64解码后的Python代码:
2019年10月10日6:使用粘贴纸
自2019年10月以来，攻击者一直使用pastebincom托管其MSF下载工具Shellcode。在此期间，IndigoDrop示例具有通过注册表和Windows启动文件夹持久化其他组件的功能。