現(xiàn)在，一個(gè)資深攻擊者可以很輕松的使用普通工具、惡意軟件、以及超級(jí)簡(jiǎn)單原始的投遞方式，展開一場(chǎng)小型攻擊并躲開調(diào)查和追溯。最常見(jiàn)的方法是使用魚叉式網(wǎng)絡(luò)釣魚郵件通過(guò)社交工程來(lái)實(shí)施，或者使用諸如CVE-2017-0199 或ThreadKit builder這樣的漏洞，來(lái)引起企業(yè)員工的注意或者關(guān)注。初步感染成功后，攻擊者便開始部署高級(jí)定制化惡意軟件以及其他高級(jí)工具，或者濫用Microsoft Windows中內(nèi)置的眾多實(shí)用程序，如PowerShell、CMSTP、Regsvr32 （這種濫用也被戲稱為“靠土地為生”）。

　　對(duì)于那些想要捕獲威脅或者僅僅是自我保護(hù)的人來(lái)說(shuō)，這類感染方式讓識(shí)別工作變得如大海撈針一樣困難。但即便這樣，一旦有攻擊者使用Commodity Builders或者工具，總會(huì)留下特定信號(hào)或者特征，我們可以據(jù)此來(lái)追蹤網(wǎng)絡(luò)攻擊者的infrastructure。在這方面，最重名昭著的便是Cobalt Gang，這個(gè)犯罪團(tuán)伙完全符合TTP三要素即戰(zhàn)術(shù)Tactics、技術(shù)Techniques和過(guò)程Procedures，即便其頭目今年在西班牙被捕，這個(gè)團(tuán)伙依舊活躍。

　　2018年10月，Palo Alto Networks威脅情報(bào)團(tuán)隊(duì)Unit 42對(duì)Cobalt Gang所進(jìn)行的破壞活動(dòng)進(jìn)行了調(diào)查，并借助思科Talos 安全團(tuán)隊(duì)和 Morphisec安全公司發(fā)布的相關(guān)報(bào)告里的最新信息，發(fā)現(xiàn)了這個(gè)犯罪團(tuán)伙并與其infrastructure相關(guān)聯(lián)。

　　因此，我們能夠識(shí)別出使用普通macro builder的行為，也能夠識(shí)別出特定的文件元數(shù)據(jù)，進(jìn)而實(shí)現(xiàn)對(duì)與Cobalt Gang相關(guān)的活動(dòng)以及Infrastructure的追蹤和歸類。

　　近期有關(guān)Cobalt Gang攻擊，也就發(fā)生在幾天前，目前安全人員正在對(duì)這些攻擊進(jìn)行分析，分析結(jié)果顯示Cobalt Gang的攻擊投遞方式簡(jiǎn)單易用。

　　通過(guò)持續(xù)觀察，我們發(fā)現(xiàn)郵件是發(fā)動(dòng)此類攻擊最主要的途徑。這類攻擊首先將全球幾大銀行機(jī)構(gòu)的員工設(shè)定為攻擊對(duì)象，并向其發(fā)送標(biāo)題為“Confirmations on October 16, 2018”的郵件。

　　圖一所示的例子，在多個(gè)流行的公共在線惡意軟件庫(kù)中都能找到。

　　圖一，收到的郵件樣本

　　郵件附件為PDF文件，沒(méi)有任何代碼或漏洞。它通過(guò)社交工程手段勸說(shuō)使用者點(diǎn)擊鏈接進(jìn)而下載惡意宏。這是Cobalt Gang慣用的手法，Talos也曾在報(bào)告里專門論述過(guò)。

　　圖二，PDF文件內(nèi)嵌鏈接

　　PDF內(nèi)容簡(jiǎn)單，內(nèi)嵌鏈接，點(diǎn)擊鏈接會(huì)打開一個(gè)Google合法地址，并重新引導(dǎo)瀏覽器瀏覽某個(gè)惡意文件：

　　圖三，打開瀏覽器瀏覽某個(gè)惡意文件

　　為了不被靜態(tài)分析工具檢測(cè)到，攻擊者將PDF文件做得極度逼真：有空白頁(yè)，有文本頁(yè)，這樣在分析過(guò)程中就會(huì)避開報(bào)警。而且，如果PDF文件頁(yè)數(shù)很少，或內(nèi)容很少的話，也會(huì)在靜態(tài)分析中被重點(diǎn)檢測(cè)。

　　圖四，PDF靜態(tài)分析

　　圖五，PDF文件中使用的文本

　　借助這兩項(xiàng)技術(shù)，這類PDF文件幾乎能夠避開全部傳統(tǒng)防病毒檢測(cè)，從而在攻擊第一階段便通過(guò)郵件將惡意軟件有效投送。

　　惡意宏下載成功后，攻擊者利用cmstp.exe系統(tǒng)工具運(yùn)行scriptlet程序，從而幫助攻擊者繞過(guò)AppLocker，進(jìn)入負(fù)載投遞的下一階段。此項(xiàng)研究的目的不是對(duì)負(fù)載進(jìn)行分析，而是聚焦攻擊投遞過(guò)程中涉及的各方面因素，從而對(duì)攻擊者發(fā)動(dòng)的行動(dòng)及其采用的infrastructure進(jìn)行有效追蹤。

　　但僅憑投遞方法就能識(shí)別出攻擊者的行動(dòng)和目標(biāo)，又是如何實(shí)現(xiàn)的呢？有關(guān)這部分內(nèi)容，建議您參閱Palo Alto Networks Unit 42 研究團(tuán)隊(duì)發(fā)布的完整報(bào)告，報(bào)告地址<https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/>

　　Commodity attack 被廣泛應(yīng)用在犯罪和特定攻擊中，很難被網(wǎng)絡(luò)防護(hù)人員和威脅研究人員識(shí)別。Cobalt Gang就是這樣的攻擊者，它利用這種方法來(lái)實(shí)施攻擊。

　　我們聚焦于macro builders的特定方面以及攻擊者留下的元數(shù)據(jù)，從而開發(fā)出全新架構(gòu)來(lái)實(shí)現(xiàn)對(duì)Cobalt Gang攻擊活動(dòng)和infrastructure的追蹤和擒獲。

　　作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)，Palo Alto Networks（派拓網(wǎng)絡(luò)）一直以不斷挑戰(zhàn)網(wǎng)絡(luò)安全現(xiàn)狀而著稱。我們的使命就是通過(guò)有效防御網(wǎng)絡(luò)攻擊來(lái)保護(hù)數(shù)字時(shí)代的生活方式，我們有幸能夠參與其中，為成千上萬(wàn)家企業(yè)以及他們的客戶保駕護(hù)航。我們的獨(dú)具開創(chuàng)性的Security Operating Platform，通過(guò)持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks（派拓網(wǎng)絡(luò)）掌握安全、自動(dòng)化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過(guò)提供最真實(shí)的平臺(tái)，并聯(lián)合志同道合的變革企業(yè)，我們共同推動(dòng)生態(tài)系統(tǒng)的不斷成長(zhǎng)，并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨(dú)具創(chuàng)新性的跨云端、網(wǎng)絡(luò)和移動(dòng)設(shè)備的網(wǎng)絡(luò)安全解決方案。

　　敬請(qǐng)關(guān)注Palo Alto Networks（派拓網(wǎng)絡(luò)）官方微信賬號(hào)