CobaltStrike – 奇安信技术研究院

【天穹】GrimResource来袭！看天穹沙箱精准检出MSC样本

技术报告CobaltStrike, DLL劫持, GrimResource, MSC 2024年9月14日2024年9月14日

近期，天穹团队在日常狩猎活动中发现了一个MSC格式的样本，该样本利用了一种被称为GrimResource的攻击技术，当用户点击样本后，就会触发mmc.exe执行msc内嵌的JavaScript代码。这种攻击方式在今年6月份才被Elastic Security首次公布，市面上的许多沙箱还无法分析此类样本。天穹沙箱不同凡响，具备强大的样本分析能力，针对msc格式的文件也可以有效分析。接下来，我们结合天穹沙箱分析报告，深度剖析此类样本的攻击手法。

【天穹】HVV专题：典型HVV样本总结与IOC收集（第二期）

技术报告CobaltStrike, 侧加载, 沙箱, 灰黑产, 钓鱼 2024年8月8日2024年8月8日

转眼间，HVV行动已经进行两周了，奇安信天穹沙箱持续为用户提供数据安全保障。本期就分析人员对近两周用户提交HVV样本的分析总结，给大家分享我们的新发现。除分析典型样本外，我们还在文末附上了一批高价值HVV样本IOC福利，欢迎大家查阅。

【天穹】HVV专题：典型HVV样本总结与IOC收集（第一期）

技术报告CobaltStrike, 侧加载, 护网, 灰黑产, 钓鱼 2024年8月1日2024年8月1日

近期，HVV行动进行地如火如荼，奇安信天穹沙箱在线协助用户对HVV样本进行自动化分析，后台同步开展人工研判样本分析结果，全力保障用户安全。本文整理了近期较为典型的HVV样本，其传播方式仍以钓鱼为主，通常伪造为`官方通知`、`岗位招聘`、`合法软件安装包`、`邮箱验证`、`个人简历`等文件诱导用户点击，样本家族仍以`CobaltStrike`居多，同时也出现了许多红队自写C2框架，在C2通信协议上，样本广泛使用`云函数`和`国内云服务器IP`作为C2地址，并使用`HTTPS`、`域名伪装`、`自定义协议`等技术伪装会话内容。

【天穹】HVV专题：火眼金睛-伪装为灰黑产软件的反沙箱木马

技术报告CobaltStrike, 反沙箱, 护网, 灰黑产, 钓鱼 2024年7月29日2024年7月29日

近期HVV行动，天穹沙箱分析人员持续关注沙箱样本的投递情况。在近几日的监测中，发现一个钓鱼样本被大量用户重复投递，这一高频率出现的样本岂能逃过分析人员的火眼金睛？本次分享，就和大家一起一层一层地剥开它的心。样本名为“身份证正反生成.zip”，从名称来看，这是一个灰黑产相关的软件，初步判断它是典型的HVV样本。对压缩包解压处理，得到一个命名为身份证正反生成.exe的可疑执行文件，以及一个包含大量.pyd文件的 _internal 目录。初看解压后的内容，文件后缀名和目录格式这些特征极易误导分析人员认为这是一个PyInstaller打包的木马程序。但随着深入分析，我们发现它实际是一个CobaltStrike 木马，该样本同时具有反沙箱特征，成功规避了多家友商沙箱检测，这也激起了我们的好奇心，决定一探究竟。

【天穹】DLL侧加载检测功能上线

技术报告CobaltStrike, DLL侧加载, DLL劫持 2024年4月3日2024年4月3日

DLL侧加载是一种利用Windows DLL加载机制，将恶意DLL伪装成合法DLL放置在DLL搜索路径上，由合法程序自动加载后实施恶意行为的攻击技术。这种攻击技术利用了防护软件对合法进程的信任，使得DLL的恶意行为不会触发告警，绕过了防护软件的检测。这种信任机制对降低误报起到重要作用。例如，输入法软件需要将自己的DLL注入到其他软件的内存中，防护软件显然不能将输入法标识为病毒，为了实现这一点，防护软件会检测输入法的签名信息，如果具备合法签名，则不予告警。黑客利用DLL侧加载机制，让受信任软件主动加载执行恶意代码，相比于主动注入，不需要调用VirtualAllocEx这类敏感API，被防护软件告警的几率也更低。

【天穹】DLL侧加载检测功能上线

技术报告CobaltStrike, DLL侧加载, DLL劫持 2024年3月28日2024年3月28日

DLL侧加载是一种利用Windows DLL加载机制，将恶意DLL伪装成合法DLL放置在DLL搜索路径上，由合法程序自动加载后实施恶意行为的攻击技术。这种攻击技术利用了防护软件对合法进程的信任，使得DLL的恶意行为不会触发告警，绕过了防护软件的检测。这种信任机制对降低误报起到重要作用。例如，输入法软件需要将自己的DLL注入到其他软件的内存中，防护软件显然不能将输入法标识为病毒，为了实现这一点，防护软件会检测输入法的签名信息，如果具备合法签名，则不予告警。黑客利用DLL侧加载机制，让受信任软件主动加载执行恶意代码，相比于主动注入，不需要调用VirtualAllocEx这类敏感API，被防护软件告警的几率也更低。

【天穹】CobaltStrike：跨平台版Beacon携变种壳现身

技术报告Beacon, CobaltStrike, 变种UPX, 自动化脱壳 2024年1月15日2024年1月16日

近日，天穹沙箱在进行日常样本狩猎时发现了一个特殊的ELF样本。经过综合研判，该样本被确定为Linux/CobaltStrike家族。在日常狩猎中，我们常常遇到CobaltStrike样本，但是Linux版本的CobaltStrike样本却非常罕见。初步对该样本进行了分析，发现它采用了变种UPX壳、使用了HTTPS会话协议，并对C2流量进行了伪装处理以绕过IDS检测。

【天穹】CobaltStrike魔改新招：针对配置数据的反检测手段

技术报告Beacon, CobaltStrike, 恶意代码, 沙箱, 魔改 2023年10月30日2024年1月15日

近日，天穹沙箱在日常样本狩猎时发现一个针对某集团的钓鱼样本，该样本经天穹沙箱综合判定为CobaltStrike家族。在针对CobaltStrike样本进行分析时，天穹沙箱的提取模块并未成功获取到该样本的威胁配置信息。尽管天穹沙箱在之前已经针对各种魔改的Beacon和Stager进行了适配，但该样本成功绕过了提取模块的扫描机制。在排除了内存转储等可能引起问题的因素后，可以初步确定该样本加载了经过深度魔改的Beacon。

【天穹】HVV案例：典型恶意样本攻击手法总结

技术报告CDN, CobaltStrike, ICMP隧道, 云服务, 沙箱, 钓鱼 2023年8月14日2024年1月16日

网络攻防真人秀（H/W）已过去一周，奇安信技术研究院秉承“安全能力输出，实际行动支前”的理念，基于硬件虚拟化、软件动态分析、控制流完整性分析等技术方法研制的“上帝视角”高对抗天穹沙箱，持续狩猎高价值样本并自动化分析和研判，为各位师傅们输出高水平分析报告。