現(xiàn)在，一個資深攻擊者可以很輕松的使用普通工具、惡意軟件、以及超級簡單原始的投遞方式，展開一場小型攻擊并躲開調(diào)查和追溯。最常見的方法是使用魚叉式網(wǎng)絡(luò)釣魚郵件通過社交工程來實施，或者使用諸如CVE-2017-0199 或ThreadKit builder這樣的漏洞，來引起企業(yè)員工的注意或者關(guān)注。初步感染成功后，攻擊者便開始部署高級定制化惡意軟件以及其他高級工具，或者濫用Microsoft Windows中內(nèi)置的眾多實用程序，如PowerShell、CMSTP、Regsvr32 （這種濫用也被戲稱為“靠土地為生”）。

　　對于那些想要捕獲威脅或者僅僅是自我保護(hù)的人來說，這類感染方式讓識別工作變得如大海撈針一樣困難。但即便這樣，一旦有攻擊者使用Commodity Builders或者工具，總會留下特定信號或者特征，我們可以據(jù)此來追蹤網(wǎng)絡(luò)攻擊者的infrastructure。在這方面，最重名昭著的便是Cobalt Gang，這個犯罪團(tuán)伙完全符合TTP三要素即戰(zhàn)術(shù)Tactics、技術(shù)Techniques和過程Procedures，即便其頭目今年在西班牙被捕，這個團(tuán)伙依舊活躍。

　　2018年10月，Palo Alto Networks威脅情報團(tuán)隊Unit 42對Cobalt Gang所進(jìn)行的破壞活動進(jìn)行了調(diào)查，并借助思科Talos 安全團(tuán)隊和 Morphisec安全公司發(fā)布的相關(guān)報告里的最新信息，發(fā)現(xiàn)了這個犯罪團(tuán)伙并與其infrastructure相關(guān)聯(lián)。

　　因此，我們能夠識別出使用普通macro builder的行為，也能夠識別出特定的文件元數(shù)據(jù)，進(jìn)而實現(xiàn)對與Cobalt Gang相關(guān)的活動以及Infrastructure的追蹤和歸類。

　　近期有關(guān)Cobalt Gang攻擊，也就發(fā)生在幾天前，目前安全人員正在對這些攻擊進(jìn)行分析，分析結(jié)果顯示Cobalt Gang的攻擊投遞方式簡單易用。

　　通過持續(xù)觀察，我們發(fā)現(xiàn)郵件是發(fā)動此類攻擊最主要的途徑。這類攻擊首先將全球幾大銀行機構(gòu)的員工設(shè)定為攻擊對象，并向其發(fā)送標(biāo)題為“Confirmations on October 16, 2018”的郵件。

　　圖一所示的例子，在多個流行的公共在線惡意軟件庫中都能找到。

　　圖一，收到的郵件樣本

　　郵件附件為PDF文件，沒有任何代碼或漏洞。它通過社交工程手段勸說使用者點擊鏈接進(jìn)而下載惡意宏。這是Cobalt Gang慣用的手法，Talos也曾在報告里專門論述過。

　　圖二，PDF文件內(nèi)嵌鏈接

　　PDF內(nèi)容簡單，內(nèi)嵌鏈接，點擊鏈接會打開一個Google合法地址，并重新引導(dǎo)瀏覽器瀏覽某個惡意文件：

　　圖三，打開瀏覽器瀏覽某個惡意文件

　　為了不被靜態(tài)分析工具檢測到，攻擊者將PDF文件做得極度逼真：有空白頁，有文本頁，這樣在分析過程中就會避開報警。而且，如果PDF文件頁數(shù)很少，或內(nèi)容很少的話，也會在靜態(tài)分析中被重點檢測。

　　圖四，PDF靜態(tài)分析

　　圖五，PDF文件中使用的文本

　　借助這兩項技術(shù)，這類PDF文件幾乎能夠避開全部傳統(tǒng)防病毒檢測，從而在攻擊第一階段便通過郵件將惡意軟件有效投送。

　　惡意宏下載成功后，攻擊者利用cmstp.exe系統(tǒng)工具運行scriptlet程序，從而幫助攻擊者繞過AppLocker，進(jìn)入負(fù)載投遞的下一階段。此項研究的目的不是對負(fù)載進(jìn)行分析，而是聚焦攻擊投遞過程中涉及的各方面因素，從而對攻擊者發(fā)動的行動及其采用的infrastructure進(jìn)行有效追蹤。

　　但僅憑投遞方法就能識別出攻擊者的行動和目標(biāo)，又是如何實現(xiàn)的呢？有關(guān)這部分內(nèi)容，建議您參閱Palo Alto Networks Unit 42 研究團(tuán)隊發(fā)布的完整報告，報告地址<https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/>

　　Commodity attack 被廣泛應(yīng)用在犯罪和特定攻擊中，很難被網(wǎng)絡(luò)防護(hù)人員和威脅研究人員識別。Cobalt Gang就是這樣的攻擊者，它利用這種方法來實施攻擊。

　　我們聚焦于macro builders的特定方面以及攻擊者留下的元數(shù)據(jù)，從而開發(fā)出全新架構(gòu)來實現(xiàn)對Cobalt Gang攻擊活動和infrastructure的追蹤和擒獲。

　　作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)，Palo Alto Networks（派拓網(wǎng)絡(luò)）一直以不斷挑戰(zhàn)網(wǎng)絡(luò)安全現(xiàn)狀而著稱。我們的使命就是通過有效防御網(wǎng)絡(luò)攻擊來保護(hù)數(shù)字時代的生活方式，我們有幸能夠參與其中，為成千上萬家企業(yè)以及他們的客戶保駕護(hù)航。我們的獨具開創(chuàng)性的Security Operating Platform，通過持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks（派拓網(wǎng)絡(luò)）掌握安全、自動化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過提供最真實的平臺，并聯(lián)合志同道合的變革企業(yè)，我們共同推動生態(tài)系統(tǒng)的不斷成長，并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨具創(chuàng)新性的跨云端、網(wǎng)絡(luò)和移動設(shè)備的網(wǎng)絡(luò)安全解決方案。

　　敬請關(guān)注Palo Alto Networks（派拓網(wǎng)絡(luò)）官方微信賬號