Lenthena/Cobalt-Strike-csload-plugin

# 恶意软件分析报告 ## ⚠️ 警告：检测到恶意代码 本文档分析了在野发现的 **恶意 Payload 加载器**。此代码**绝不应**被执行，此处仅用于安全研究和教育目的进行记录。 ## 执行摘要 这是一个用 C# 编写的复杂恶意软件加载器，它采用多种规避技术将加密的 Shellcode 注入并执行到合法的 Windows 进程中。该恶意软件伪装成文档文件，并使用进程镂空（Process Hollowing）技术来维持持久性。 ## 技术分析 ### 🎯 主要功能 #### 1. **进程注入** - 创建一个挂起的 `explorer.exe` 进程 - 使用 Windows Native API（`ZwCreateSection`、`ZwMapViewOfSection`）进行内存操作 - 实现基于 Section 的进程镂空技术 #### 2. **Payload 解密** - **加密**：AES (Rijndael)，模式为 ECB，填充方式为 PKCS7 - **压缩**：对加密的 Payload 进行 GZIP 解压 - **密钥**：`164329457b343765`（硬编码） #### 3. **规避技术** - 诱饵文档部署（`交广微贷易金融实名注册需求文档.docx`） - 文件名操作和基于 GUID 的临时文件创建 - 直接使用 Native API 以绕过用户模式 Hook ## 攻击流程 ``` 1. Executable launched ↓ 2. AES decryption of embedded shellcode ↓ 3. GZIP decompression ↓ 4. Create suspended explorer.exe process ↓ 5. Create memory section and map to both local/remote processes ↓ 6. Copy shellcode to mapped section ↓ 7. Patch process entry point with jump to shellcode ↓ 8. Resume thread (execute shellcode) ↓ 9. Display decoy document to victim ``` ## 关键失陷指标 ### 文件名 - `交广微贷易金融实名注册需求文档.exe`（原始可执行文件） - `交广微贷易金融实名注册需求文档.docx`（诱饵文档） ### 行为指标 - 可疑进程创建：`c:\\windows\\explorer.exe` - 没有对应文件的内存 Section 映射 - 挂起进程中的入口点修改 - 使用 GUID 命名的临时目录文件操作 ### Windows API 调用 - `ZwCreateSection` - `ZwMapViewOfSection` - `ZwQueryInformationProcess` - 带有 `CREATE_SUSPENDED` 标志 (0x4) 的 `CreateProcess` - 直接 PEB (Process Environment Block) 操作 ## 代码技术 ### 内存映射 ``` // Creates RWX memory sections ZwCreateSection(PAGE_EXECUTE_READWRITE, SEC_COMMIT) MapSection(target_process, PAGE_EXECUTE_READWRITE) ``` ### 入口点修补 - 生成 x86/x64 汇编 Stub（`MOV RAX/EAX, address; JMP RAX/EAX`） - 覆盖合法进程入口点 - 将执行流重定向到注入的 Shellcode ### 反分析 - 使用中文文件名以潜在规避自动化系统 - 诱饵文档干扰 - 加密 Payload（Base64 + AES） - 使用 Native API（更难被 Hook） ## MITRE ATT&CK 映射 | 技术 ID | 技术名称 | 描述 | |-------------|----------------|-------------| | T1055.012 | Process Injection: Process Hollowing | 创建挂起进程并注入代码 | | T1027 | Obfuscated Files or Information | AES 加密 + GZIP 压缩 | | T1027.009 | Embedded Payloads | Shellcode 嵌入在可执行文件中 | | T1036.005 | Masquerading: Match Legitimate Name | 伪装成中文金融文档 | | T1564.010 | Hide Artifacts: Process Argument Spoofing | 外观合法的 explorer.exe 进程 | ## 检测建议 ### YARA 规则建议 ``` - Import of Rijndael/AES cryptographic functions - String patterns: "ZwCreateSection", "ZwMapViewOfSection" - Base64 encoded large blobs - Chinese Unicode file paths combined with .exe/.docx ``` ### EDR 遥测 - 监控带有挂起标志的 `CreateProcess` - 跟踪跨进程边界的 `ReadProcessMemory`/`WriteProcessMemory` - 对来自非调试器进程的 PEB 访问发出警报 - 检测入口点修改 ### 网络监控 - 分析 Shellcode 中的 C2 通信模式 - 监控来自 explorer.exe 的异常出站连接 ## 缓解措施 1. **预防** - 用户意识培训（电子邮件附件） - 应用程序白名单 - 禁用宏和不受信任的可执行文件 2. **检测** - 部署具有行为监控的 EDR 解决方案 - 启用 Windows Defender 攻击面减少规则 - 监控 Native API 滥用 3. **响应** - 立即隔离受影响系统 - 在关机前捕获内存转储 - 分析 Shellcode Payload 以获取额外的 IoC ## 仅供研究使用 本分析提供给： - 恶意软件研究人员 - 安全运营团队 - 威胁情报分析师 - 学术研究 **切勿**尝试执行、修改或分发此代码。未经授权的使用可能违反计算机欺诈和滥用法律。 ## 参考资料 - Windows Native API 文档 - MITRE ATT&CK 框架 - Process Hollowing 技术 (T1055.012) **分析日期**：2025 **威胁等级**：高 **分类**：加载器/注入器恶意软件

标签：AES 解密, Cobalt Strike, DNS 反向解析, DNS 解析, EDR 绕过, GZIP 解压, Native API, Process Doppelgänger, Shellcode 加载器, Shellcode 执行, Shell模拟, SSH蜜罐, ZwCreateSection, 中高交互蜜罐, 云资产清单, 免杀技术, 内存操作, 审计工具, 恶意软件开发, 攻击模拟, 攻击诱捕, 数据收集, 暴力破解检测, 杀软绕过, 白名单绕过, 诱饵文档, 进程注入, 逆向工程, 驱动签名利用, 高危恶意代码