专栏名称: 腾讯安全威胁情报中心
御见威胁情报中心,是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。
目录
相关文章推荐
91运营网  ·  91运营网vip会员早鸟票抢座ing!! ·  19 小时前  
91运营网  ·  Deepseek搞钱教程 ·  昨天  
91运营网  ·  Deepseek喂饭指南 ·  2 天前  
91运营网  ·  91运营网vip会员早鸟票抢座ing!! ·  3 天前  
运营研究社  ·  专业考研细分“垄断”,兼职+AI如何提效?| ... ·  4 天前  
51好读  ›  专栏  ›  腾讯安全威胁情报中心

情报速递20240530|利用云函数转发C2的Cobalt Strike钓鱼样本

腾讯安全威胁情报中心  · 公众号  ·  · 2024-05-30 11:06

正文

1.背景

腾讯安全科恩实验室(以下简称“腾讯科恩”)持续基于多源数据的威胁情报分析以及系统自动化方式,捕获可疑钓鱼样本。近期捕获的样本类型,包括“银狐”家族样本文件,攻防演练样本文件以及其他类型钓鱼文件。后续,腾讯科恩将不定期公开部分捕获到的相关样本,与提取到的部分IOC,以供企事业单位进行安全防护排查与安全分析人员进行参考研判。

在5月27日系统告警信息中,腾讯科恩捕获到一个名为《广*数字财税问题附件材料各种操作都登录不了-请帮忙查看是什么原因尽快处理20240527.zip》的钓鱼攻击文件样本。该文件疑似用于针对某金融机构的定向攻击。通过进一步的分析,可以识别到该样本母体加载了 Cobalt Strike 木马,并通过云函数进行C2转发。结合其他已分析的相关样本特点,以及关联情报数据进一步挖掘,最终判断该钓鱼文件是用于攻防演练的样本文件。

钓鱼文件

广*数字财税问题附件材料各种操作都登录不了-请帮忙查看是什么原因尽快处理20240527.zip

解压文件

广*数字财税问题附件材料各种操作都登录不了-请帮忙查看是什么原因尽快处理20240527.exe

md5

7a30f2837509da7e532be266e1d2656d

样本类型

Win64 Executable

样本大小

7711744字节

发现时间

2024-05-27 15:47:31

样本图标


2.样本分析

样本自实现木马加载过程,入口处检测到沙箱环境会直接退出:


通过大量无效指令对代码进行混淆:


动态申请内存并加载 Shellcode


Shellcode最终加载Cobalt Strike木马,通过 Cobalt Strike 配置文件可以看到,样本请求C2时通过云函数service-hzdzk12c-1318485841.gz.api**[.]****cs[.]com进行转发:


通过多源威胁情报关联分析,结合样本及攻击流程中的相关技术特点,腾讯科恩高度怀疑此次钓鱼攻击为攻防演练行为。


相关IOC

MD5:

7a30f2837509da7e532be266e1d2656d


云函数 :

https[:]// service-hzdzk12c-1318485841.gz.api**.****cs[.]com:443


IP:
123.207.51[.]53






请到「今天看啥」查看全文


推荐文章
91运营网  ·  91运营网vip会员早鸟票抢座ing!!
19 小时前
91运营网  ·  Deepseek搞钱教程
昨天
91运营网  ·  Deepseek喂饭指南
2 天前
91运营网  ·  91运营网vip会员早鸟票抢座ing!!
3 天前
运营研究社  ·  专业考研细分“垄断”,兼职+AI如何提效?|闭门分享预告
4 天前
外滩TheBund  ·  一部豆瓣9.3高分的好电影,为什么被扣上“直男癌”的帽子?
7 年前
麦子熟了  ·  深度体验孟买后,告诉你一个真实的印度
7 年前
摄影笔记  ·  为什么你拍照片不清楚? 怎么才有好虚化?一节课讲明白对焦的问题
7 年前
好地讯江苏  ·  2017好地半年会(上海专场)本周三启幕
7 年前
正商参略  ·  大突破!吉布提,中国海军来了!从此万里之外有我并肩的战友(西方为什么说酸话)
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!