惡意軟體分析:藉助軍事相關誘餌文檔傳播Cobalt Strike

一、概述

近期，Cisco Talos團隊觀察到一個惡意軟體活動，該惡意活動利用軍事相關主題的惡意Microsoft Office文檔傳播了包含完整RAT功能的Cobalt Strike。在這些惡意文檔中，包含了用於進行多階段、高度模塊化感染活動的惡意宏。該惡意活動似乎針對南亞地區的軍事和政府組織。為有效應對這種威脅，應該在使用基於網絡的檢測產品的基礎上，將其與終端防護產品結合使用，以提供多層安全防護。

二、攻擊活動概述

2.1 特點

在Cisco Talos此次發現的新型惡意活動中，攻擊者利用了定製化的Cobalt Strike進行分階段的多層攻擊，最終感染目標終端。考慮到此次攻擊中所使用的惡意文檔的主題，我們認為南亞的軍事和政府組織很有可能會成為此次攻擊的目標。

2.2 工作方式

該攻擊使用一個高度模塊化的Dropper可執行文件，我們將其稱為「IndigoDrop」。攻擊者使用惡意文檔，將該文件投放到受害者的終端。IndigoDrop會從指定的下載URL下載最終Payload並進行部署。我們發現，在攻擊活動中所使用的最終Payload，實際上是Cobalt Strike。

在本文中，我們將主要對惡意文檔、IndigoDrop和Cobalt Strike組件的核心技術功能進行分析，其中包括：

1、基於惡意文檔的感染鏈；

2、IndigoDrop的功能；

3、用於下載感染組件的通信機制和基礎結構；

4、Cobalt Strike的詳細配置。

2.3 攻擊思路

在本次攻擊中，展示了攻擊者是如何開展針對性攻擊的：

1、攻擊者使用看起來合法的誘餌，誘導目標打開惡意文檔；

2、採用了高度模塊化的感染鏈（在IndigoDrop中實現）以感染最終的Payload；

3、使用已有的攻擊性框架（Cobalt Strike）來建立控制並實現網絡中的持久性，這樣一來，攻擊者就不需要再開發定製化的遠程控制木馬（RAT）。

根據近期發現的攻擊鏈變化情況，我們可以判斷出這一威脅演變的過程。其演變過程表明，攻擊者持續加強了逃避檢測方面所使用的策略和技術。該惡意活動還表明，儘管基於網絡的檢測非常關鍵，但是也應該通過分析系統行為特徵、部署終端防護產品等方式，對網絡層檢測能力進行補充，以提供額外的安全性。

三、惡意文檔分析（第一階段）

在此次攻擊中，使用了兩種技術來投遞在目標終端上要執行的惡意宏：

1、在文檔中嵌入惡意宏，並在打開文檔後直接執行；

2、將惡意宏作為外部連結模板的一部分，首先下載惡意宏，然後將其注入到原始惡意文檔中。

3.1 惡意文檔使用的誘餌

攻擊者將惡意文檔偽裝成內部政府文檔或軍事文檔。舉例來說，我們發現其中一些惡意文檔是「事件行動計劃」（IAP）文件，在這些文檔中記錄了印度空軍（IAF）的IT基礎設施保障程序。

這些惡意文檔的文件名包括：

IAP39003.doc - 包含嵌入的惡意宏

IAP39031.docx - 使用模板注入技術

惡意文檔誘餌的內容如下所示：

3.2 誘餌文檔的來源

此前，我們觀察到的許多惡意文檔往往會只包含幾頁誘餌內容，以增強其真實性，並進一步開展有針對性的攻擊。但是，在這一攻擊活動中，所使用的誘餌文檔中包含完整的合法內容，大約在64頁、15000字左右，這將讓誘餌文檔看起來更加真實。我們還在網絡中發現了一份原始文檔，其中不包含惡意代碼，這表明攻擊者很可能根據這份原始文檔進行武器化，並將其分發給潛在受害者。

原始文檔的哈希值：0d16b15972d3d0f8a1481db4e2413a2c519e8ac49cd2bf3fca02cfa3ff0be532

3.3 惡意VBA分析

根據兩個不同樣本中使用的不同技術，我們分別分析本地嵌入的惡意宏代碼，以及從遠程位置下載的注入後模板中所使用的惡意宏代碼。

惡意宏將會執行以下惡意活動：

1、將Windows可執行文件的硬編碼字節解析為可以寫入磁碟上文件的字節。

2、解析的字節會被寫入到當前登錄用戶的Startup目錄下，形成EXE文件：

%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\anything.exe

3、一旦惡意EXE（第二階段Payload，IndigoDrop）被寫入到用戶的Startup目錄後，宏將會退出執行，而不會執行實際的第二階段Payload。

4、一旦用戶再次登錄或者重新啟動系統，將會激活受感染終端上的第二階段Payload。

5、在攻擊中使用的第二階段Payload是一個自定義的Dropper（IndigoDrop），可以執行一系列任務。

惡意宏代碼：

3.4 惡意文檔的分發

攻擊者使用Bit.ly短網址服務，在2020年1月23日創建了一個縮短後的URL（hxxp://bit[.]ly/iaf-guidelines），該URL重定向到惡意文檔的真實URL地址（hxxp://tecbeck[.]com/IAP39031[.]docx）。

攻擊者很有可能是將惡意文檔託管在公共伺服器上，並使用魚叉式網絡釣魚電子郵件的方式，將原始URL或短網址URL分發到目標用戶。這樣一來，就可以繞過安全軟體對於電子郵件附件安全性的檢查。

四、Dropper二進位文件IndigoDrop分析（第二階段）

惡意文檔負責將第二階段的二進位文件放置到磁碟上，這是一個惡意的投放/加載工具，我們將其稱為「IndigoDrop」，該工具可以從另一個遠程位置下載並激活自定義的Cobalt Strike（最終Payload DLL）。

在開展深入分析之前，我們首先列舉IndigoDrop的一些關鍵特性：

1、這是一個高度模塊化的惡意工具，在IndigoDrop中通常包含三個硬編碼的位置，可以用於下載和激活下一階段的Payload。

2、在此次攻擊中，IndigoDrop同時利用攻擊者操縱的遠程位置和公用的數據託管平臺（例如pastebin[.]com）來託管下一階段的Payload。這一投放工具很有可能會從這些遠程位置下載最終的Payload，就如同在其他變種中所使用的方法一樣。

Base64編碼後的MetaSploit Shellcode：

Base64解碼後的MetaSploit Shellcode：

我們對IndigoDrop進行分析，發現該投放工具在終端上執行以下操作：

1、在註冊表中，為其自身創建持久性：

HKCU\Software\Microsoft\Windows\CurrentVersion\Run | iexplorer = cmd /c /onboot -hide

2、下載並執行2A階段的MetaSploit Shellcode。

3、檢查當前用戶名、計算機名稱、Shellcode所在父文件夾名稱、主機MAC地址、公網IP位址。如果其中的任何值與黑名單匹配，則IndigoDrop將會推出。我們在最後一章威脅指標中，列出了黑名單中包含的值。

五、MetaSploit（MSF）下載工具Shellcode分析（第二階段-A）

MetaSploit Shellcode是經過修改後的反向HTTP階段工具，用於從特定的下載位置下載惡意文件。在2A階段中使用的Shellcode通常託管在公共站點上，例如pastebin[.]com。

這裡下載的惡意文件，通常是木馬化jquery[.]min.js文件的副本。惡意jQuery文件中包含：

1、文件頂部和結尾的合法JavaScript（JS）代碼。

2、在文件的特定偏移量位置包含的另一個Shellcode（我們將其稱為3A階段）。

MetaSploit HTTP階段工具會按順序執行以下操作：

1、連接到惡意攻擊者控制的IP位址；

2、將惡意的jquery-3.3.0.min[.]js文件下載到可執行內存位置；

3、跳轉到jquery文件中嵌入的惡意Shellcode，然後開始執行3A階段的惡意文件。

惡意jQuery文件如下所示：

2A階段的MetaSploit Shellcode將jQuery文件下載到可執行內存，並跳轉到特定的偏移量：

六、解碼工具Shellcode分析（第三階段-A）

在惡意jQuery文件中，包含解碼工具Shellcode（第三階段-A）和最終的Cobalt Strike DLL。但是，這裡使用的DLL是XOR編碼後的。解碼工具Shellcode負責對其進行解碼，並激活投放工具進程內存中的最終Payload。

解碼工具Shellcode負責解碼最終的RAT Payload：

七、Cobalt Strike分析（第三階段-B）

最終的RAT Payload實際上是Cobalt Strike。在對DLL進行解碼後，解碼工具Shellcode（第三階段-A）跳轉到內存中MZ的開頭，而不是轉到DllEntryPoint。這樣做是為了計算加載工具例程（通常也是導出的子例程）的地址並跳轉到該位置，這個例程將在投放工具進程的內存中執行Cobalt Strike的反射DLL加載。

代碼從基映像開始計算，然後通過調用ebx，跳轉到反射型加載工具的地址：

加載工具例程完成內存中DLL的設置（包括重新編譯Imports、重定位等）之後，將會跳轉到DllEntryPoint（或DllMain），以激活感染過程的最後一個階段——實際的RAT組件。

7.1 Cobalt Strike的配置

Cobalt Strike使用框架中「.profile」文件指定的配置。這些配置描述了惡意Payload的各種特徵，包括：C2配置、通信協議、進程注入技術等。

在此次攻擊中所使用的配置文件試圖模仿合法的jQuery請求。在此次攻擊中，最常見的配置如下：

Beacon type = HTTP

CnC URL resource location = /jquery-3.3.1.min.js

HTTP Post location = /jquery-3.3.2.min.js

User Agent = Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.157 Safari/537.36

HTTP Get Metadata =

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Host: code.jquery.com

Referer: http://code.jquery.com/

Accept-Encoding: gzip, deflate

__cfduid=

Cookie

HTTP Post Metadata =

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Host: code.jquery.com

Referer: http://code.jquery.com/

Accept-Encoding: gzip, deflate

__cfduid

Idle DNS IP = 74[.]125.196.113 (google[.]com)

Spawn processes =

%windir%\syswow64\dllhost.exe

%windir%\sysnative\dllhost.exe

Process injection configuration =

ntdll:RtlUserThreadStart

CreateThread

NtQueueApcThread-s

CreateRemoteThread

RtlCreateUserThread

7.2 功能分析

在此次攻擊中所使用的Cobalt Strike支持多種功能（也稱為命令），包括：

1、通過注入的方式，在目標進程中執行任意代碼；

2、在受感染的終端上執行任意命令；

3、下載和上傳文件；

4、模擬用戶；

5、遍歷、複製、刪除文件，或修改文件時間戳；

6、修改、查詢Windows註冊表；

7、使用可擴展的jQuery C&C配置文件來模擬合法流量。

完整的感染鏈如下圖所示：

八、Pastebin的濫用

在此次攻擊中，濫用了pastebin[.]com網站以託管MetaSploit下載工具的Shellcode（第二階段-A）。在Pastebin上託管的Shellcode是通過訪客用戶或者以下五個註冊帳戶創建的，分別是：

hxxps://pastebin[.]com/u/r_ajeevshikra

hxxps://pastebin[.]com/u/ra_jeevshikra

hxxps://pastebin[.]com/u/raj_eevshikra

hxxps://pastebin[.]com/u/raje_evshikra

hxxps://pastebin[.]com/u/rajeev_shikra

由攻擊者操縱的Pastebin帳戶：

在Pastebin上託管的Base64編碼後的MetaSploit下載工具Shellcode（第二階段-A）：

九、Python組件

我們還發現在此次惡意活動中，使用了一些基於Python的模塊（pyinstaller EXE）。這些模塊可能也在之前的其他惡意活動中使用過，或者被Cobalt Strike部署為此次攻擊的一部分。我們發現的兩個Python模塊具有以下用途：

1、收集初始系統信息，並將其發送到C2伺服器。

2、從受感染的系統中提取憑據，並列印到控制臺。

Sysinfo收集Python模塊的功能：

另一個Python模塊，負責從以下應用程式，竊取終端上保存的憑據：

·Google Chrome

·Microsoft Edge

·Opera

·Mozilla Firefox

·WiFi憑據

攻擊者的身份竊取模塊（片段）：

十、攻擊活動演變

我們發現了使用MetaSploit Shellcode進行攻擊的多個變種，它們最終都會激活最終的Payload，也就是Cobalt Strike。在這一章中，我們將展示攻擊的演變過程，以及在不同階段攻擊者對其功能的修改。

10.1 2018年4月 - 未使用Dropper

這是最早發現的一個攻擊變種。在這個威脅中，還是起源於一個包含惡意宏的惡意文檔。被投放到磁碟上的Payload是一個「.crt」文件。惡意宏使用「certutil」對該文件進行解碼，以獲取下一階段的Payload二進位文件（EXE），然後在目標終端上執行該文件。

惡意宏激活的Payload並不是Dropper。在這個早期變種中，沒有利用中間的Dropper來下載並激活最終Payload。

取而代之的是，由惡意宏在終端上解碼並執行的二進位文件，僅僅是一個基於SMB的Cobalt Strike。這個SMB版本的Payload繼續出現在2019年9月創建的惡意文檔中。

10.2 2019年5月 - Cobalt Strike宏

大約在2019年5月，攻擊者測試了Cobalt Strike生成的基於VBA宏的階段工具的使用。該攻擊鏈中包括一個帶有嵌入式宏的惡意文檔，其中的惡意宏可以將硬編碼的MSF下載工具Shellcode（第二階段-A）注入到合法的32位進程中。

用於將Shellcode注入到rundll32.exe的宏代碼會與本地伺服器192[.]168.146.137/eKYS進行通信，以測試是否感染：

10.3 2019年9月 - 測試樣本和嵌入式MSF Shellcode

攻擊者從2019年9月開始嘗試自定義Dropper，並在其中使用了一個新的模塊（第二階段-A）——MetaSploit下載工具Shellcode。

MetaSploit下載工具Shellcode嵌入在測試樣本中，並連接到本地IP位址以下載第三階段Payload。在這裡看到的Dropper，是最早發現的IndigoDrop實例。

MetaSploit下載工具連接到Dropper中的本地IP：

10.4 2019年9月 - 批量生成惡意樣本和嵌入式MSF Shellcode

攻擊者在2019年9月最終確定了攻擊基礎設施結構，並開始分發IndigoDrop樣本。這些Dropper是基於最早的測試樣本（同樣創建於2019年9月），並且也非常類似地包含嵌入式MSF下載工具Shellcode。這些Dropper現在會連接到攻擊者操縱的公網IP上，以下載第三階段Payload。

10.5 2019年9月 - 使用Python下載工具但未使用MSF Shellcode

大約在2019年9月底，攻擊者開始採用另一種感染策略——使用Python+基於EXE的下載工具/投放工具。

這些Dropper包含多個階段，包括：

1、實際的Dropper是惡意的EXE文件；

2、這個Dropper將提取嵌入式DLL，並將其投放到磁碟上；

3、然後，Dropper使用rundll32.exe激活DLL；

4、DLL從攻擊者操縱的伺服器下載第三階段Payload；

5、DLL使用python27.dll庫，以最小化的Python代碼來完成此操作。

這些Dropper沒有像它們的前代版本那樣利用嵌入式MSF Shellcode。相反，Shellcode託管在攻擊者控制和操縱的伺服器上。

由下載工具中的Python庫執行的Python代碼：

Base64解碼後的Python代碼：

10.6 2019年10月 - Pastebin的使用

攻擊者從2019年10月開始，使用pastebin[.]com託管其MSF下載工具Shellcode（第二階段-A）。在此期間，構建的IndigoDrop樣本目前還具有通過註冊表和Windows Startup文件夾實現感染其他組件持久化的功能（通常位於%userprofile%\AppData\Local\Microsoft\svchost.exe中）。

IndigoDrop從Pastebin下載MSF Shellcode：

10.7 2019年10月 – 多次使用Pastebin和反檢測技術

在攻擊者發現Pastebin的作用之後，攻擊者升級了他們的IndigoDrop實現，使用多個Pastebin來下載MSF Shellcode。一旦其中的某一個被刪除，攻擊者會使用其他連結作為備份。此外，攻擊者還將Pastebin和攻擊者控制的下載伺服器結合在一起使用，以作為互相的備份。

在這些IndigoDrop實例中，攻擊者還向感染鏈引入了反檢測技術。

IndigoDrop樣本中Base64編碼後的下載URL：

攻擊的演變過程如下圖所示：

十一、總結

在本次調查過程中，展示了攻擊者使用多種工具和技術來實現其完整的攻擊鏈。從定製工具（IndigoDrop）到可自定義的對抗工具（Cobalt Strike），攻擊者使用了多種感染方法對目標發起攻擊。此外，攻擊者還結合使用公共和私有伺服器來託管其惡意Payload，並且越來越傾向於使用公共伺服器。

由於他們使用了以軍事為主題的惡意文檔，這可能表明攻擊者主要針對南亞的政府組織和軍事組織。在惡意文檔中包含真實的文字內容，並且很可能是合法文檔的武器化版本，從而可以進一步增強迷惑性。

隨著時間的推移，我們接連發現了多個變種，這些變種表明威脅參與者可以在短時間內對其TTP進行改進。我們最早可以觀察到的該攻擊者的攻擊活動可以追溯到2018年4月，攻擊活動隨著不斷演變而持續至今。攻擊者可以快速構思、測試和開發出新的功能和更多樣化的模塊，這說明攻擊者具有高度的主動性和敏捷性。根據他們所使用的Cobalt Strike等框架，表明攻擊者正在尋找通過自定義組件的方式來大規模擴展其武器庫的方式。

如今，惡意軟體的攻擊鏈中往往會包含多個階段和運營者實體。這些組件和實體可以託管在本地或遠程伺服器上。例如，這一次攻擊是由託管在本地組件（IndigoDrop）在運行時從遠程位置下載的多個Shellcode組成。因此，這說明了基於網絡的檢測的重要性，更說明了還應該藉助系統行為分析和終端防護來進行補充的重要性。

十二、威脅指標

12.1 惡意文檔哈希值

b11dbaf0dd37dd4079bfdb0c6246e53bc75b25b3a260c380bb92fcaec30ec89b

aeb38a11ffc62ead9cdabba1e6aa5fce28502a361725f69586c70e16de70df2c

71c88a59b16dbcf7f061d01ea2015658136a8d4af60beb01caa94eeb74c733cd

4a6990be2d43f482fe2ab377b5e798da47ba7e02f23dfb6dba26b5011e222d25

7deeb35d7e88b769d286cc7892ee5966a27c39f03c8ac12dec21733faeffa350

12.2 Dropper哈希值

570ef552b426f8337514ebdcb5935a132e5a8851a7252528c49d6d0d4aba34d9

23091a9383704d22468f6e54babd57e64ced344900e5d3d693daf8bf609c997b

c31afceaef91380c658e4d77a78689cafb0f4179f3b251200e969195cbf4cf7b

1c3f185951b21d35f13b2a999a5d4d6b6db8f4b913e3b198fb2c86d4cd0b7781

852d4c98a786cb2b0fb10b4513163e3934b66e4d95a66de8ddcc6abc066dc61d

78ff0507cac9828fb94595d702cd2c22b8bec7a57c2159b78c924c0d0d5f8ccb

e40bdd8ff9e6432008afd54d6d526049ac6bd925dadc2b5a38f78c96df950d1a

cc0787025b297ed80e322d30b655d7c84c7c3a0d18c2089b4f545a03214b7557

e2db20377e8cc65c4cf262df15e47fc21b9a9f83fb7931d44b8d28c6b9ffc0f1

e9b00f6f47eb70b35713bf7afd345a197f6d290afb8d2684afd8345edc086b29

f9a344c251dc391c5d12e8011185fe033b5ae902c5a866ccd8d8b49881b17151

95bb65edc9e8e070680e0c85f72927a2bbb553f96fc1078d85e7df7a02c15165

365af2ddad27701d9d17a069b21dc95d39a2d2c5f78bea655db9123ff05fe086

b9c703dba1977fb34e9f6ac49ccdd0efb752ed010939d54f30f8d91358a9214d

d3f3df7cf1ece2519829ee75d29ca054e8233896b7fe50b41eaafda497ff0498

82155aaf86ba3555d5e809500c67da51e1586a6a97a9755870e22900c8790019

8f1abb122f35e66f20bd345323fb5eb8dbdbde785137c80c1e55fdaf525520bd

aa05a822f26a493efb27046f772790cc67cca29cd9f842b7bc6df2b391ce2ff8

59fd696f95182be1a51011caec172c5461ddacd556a43c329d939842cf7e7d7f

12.3 Python模塊EXE

85e69341f2fe9b97cf0bc81dc63917e62bb17072bcd20fc6125d241623e68660

4260de850b4003c9d4663afea00ba57ec02761f687dba1117ded0a8b20c6b5bb

a657bb83fe62e4b555d20463bf090f3349e55e1560507f2197a42c2c3f152667

ce438b0d30dd1c221e3c7ab99585acb4254deaf68bdfb8fc73eb206d8fd04771

12.4 Cobalt Strike哈希值

482858b70888acf67a5c2d30ddee61ca7b57ff856feaad9a2fa2b5d4bc0bbd7d

689f7d3f0def72248c4ff4b30da5022ec808a20e99b139e097c2a0d0ba5bab66

dbb5bba499e0ab07e545055d46acf3f78b5ed35fff83d9c88ce57c6455c02091

c2d9bbd5163a8e733483bf5d0d4959f053a2307d275b81eb38e69d87f1f5df7e

12.5 惡意JQuery文件

1ea22d132c1d478347d7e4e72d79bae29f18df9bec5a3016a5a9971f702a8095

b9efca96d451c0b4028b6081456c1ddd3035ab39e6a60bdd831bcf4a472a31ae

d2fd448a386416fdad0059be1bb61f49e99fc76e7efbd5f5e377dbbf6e7e3599

bdbc9dc2f2812a9808357aafe908e7206c9168bc7fea761dec871926de23eec0

12.6 惡意文檔分發URL

hxxp://bit[.]ly/iaf-guidelines

hxxp://tecbeck[.]com/IAP39031[.]docx

hxxp://bitly[.]com/38A5BEO

12.7 Cobalt Strike C&C URL

hxxp://134[.]209.196.51/jquery-3.3.1.min.js

hxxp://134[.]209.196.51/jquery-3.3.2.min.js

hxxp://139[.]59.1.154/ca

hxxp://139[.]59.1.154/submit.php

hxxp://139[.]59.79.105/jquery-3.3.1.min.js

hxxp://139[.]59.79.105/jquery-3.3.2.min.js

hxxp://188[.]166.14.73/jquery-3.3.1.min.js

hxxp://188[.]166.14.73/jquery-3.3.2.min.js

12.8 IP位址

134[.]209.196.51

134[.]209.200.91

139[.]59.1.154

139[.]59.79.105

139[.]59.81.167

157[.]245.78.153

165[.]22.201.190

178[.]62.210.85

188[.]166.14.73

188[.]166.25.156

202[.]59.79.131

12.9 MSF Shellcode URL

hxxp://139[.]59.1.154:8201/cmelkmkl.txt

hxxp://157[.]245.78.153/11.txt

hxxp://157[.]245.78.153/12.txt

hxxp://157[.]245.78.153/21.txt

hxxp://157[.]245.78.153/22.txt

hxxp://157[.]245.78.153/31.txt

hxxp://157[.]245.78.153/32.txt

hxxp://157[.]245.78.153/41.txt

hxxp://157[.]245.78.153/42.txt

hxxp://157[.]245.78.153/51.txt

hxxp://157[.]245.78.153/52.txt

hxxp://202[.]59.79.131/7XyT

hxxp://202[.]59.79.131/o2Q7NGUwpFfDzcLMnkuMyAy-IGt8KERPl-6lrRhxcbPJkZwAr33

hxxp://202[.]59.79.131:8080/8g-QvDrvM4hSI0c3D6iC8Aib6wZbs

12.10 jQuery/解碼工具Shellcode URL

hxxp://134[.]209.196.51/jquery-3.3.0.min.js

hxxp://134[.]209.200.91/jquery-3.3.0.min.js

hxxp://139[.]59.1.154/ToKN

hxxp://139[.]59.79.105/jquery-3.3.0.min.js

hxxp://139[.]59.81.167/jquery-3.3.0.min.js

hxxp://165[.]22.201.190/jquery-3.3.0.min.js

hxxp://188[.]166.14.73/jquery-3.3.0.min.js

hxxp://188[.]166.25.156/jquery-3.3.0.min.js

hxxp://202[.]59.79.131/YZn_pcfLiUILewp6Vuku9gvUqfMFnPLBP5Aju9QS709n4zRAd-3e4IuPF5kv0uhXSAiJqurq5yPJ-B9zSZ5rHig07RcWcQPIPD04YZhq1JCGWwYI-AfFFHI0qj4LRDhsuaBdQEihGmxzZ8obxUbv5RUfaxm7XwOkWJK8D9xK5gibPGGBiNs41hYB0Kar325FCcCJAIFIzWOw9WLOt6EfrWaEO69aHp

12.11 MSF Shellcode Pastebin URL

hxxps://pastebin[.]com/raw/zT57Pkzj

hxxps://pastebin[.]com/raw/kf3y5uzt

hxxps://pastebin[.]com/raw/ftfSHyPz

hxxps://pastebin[.]com/raw/hAKzruWe

hxxps://hastebin[.]com/raw/ufaxamogav

hxxps://pastebin[.]com/raw/KzmUrrnB

hxxps://pastebin[.]com/raw/aMfFtqjq

hxxps://pastebin[.]com/raw/Q6bMcduX

hxxps://pastebin[.]com/raw/7VmV7jXA

hxxps://pastebin[.]com/raw/8E8YCryu

hxxps://pastebin[.]com/raw/1tKX0v5U

hxxps://pastebin[.]com/raw/kpn2k1jc

hxxps://pastebin[.]com/raw/xiV89Xa9

hxxps://pastebin[.]com/raw/ZMTjGJUn

hxxps://pastebin[.]com/raw/CRuQvJk1

hxxps://pastebin[.]com/raw/zbL0w8sm

hxxps://pastebin[.]com/raw/yP7eQKsv

hxxps://pastebin[.]com/raw/1Q7jYDmz

hxxps://pastebin[.]com/raw/vc8TUZPN

hxxps://pastebin[.]com/raw/R0HzuGWE

hxxps://pastebin[.]com/raw/ehQyY1YX

hxxps://pastebin[.]com/raw/LRztjgkq

hxxps://pastebin[.]com/raw/QyDZhfer

hxxps://pastebin[.]com/raw/MQUG0Q07

hxxps://pastebin[.]com/raw/LtVteHbz

hxxps://pastebin[.]com/raw/k2PQZqzF

hxxps://pastebin[.]com/raw/azzHZ11B

hxxps://pastebin[.]com/raw/4u1ScSn7

hxxps://pastebin[.]com/raw/5tSnVWcn

hxxps://pastebin[.]com/raw/a0kPq7bq

hxxps://pastebin[.]com/raw/cK8nhTYw

hxxps://pastebin[.]com/raw/p34D4vbL

hxxps://pastebin[.]com/raw/YVvG43bi

hxxps://pastebin[.]com/raw/iyKjw7jR

hxxps://pastebin[.]com/raw/0hAzfmrR

hxxps://pastebin[.]com/raw/aGSg1f3Y

hxxps://pastebin[.]com/raw/i5JkU138

hxxps://pastebin[.]com/raw/LQjs18Cy

hxxps://pastebin[.]com/raw/rHeWv7t0

hxxps://pastebin[.]com/raw/bqL6CSp3

hxxps://pastebin[.]com/raw/WJFvRHXv

十三、IndigoDrop的反檢測功能

13.1 屏蔽的用戶名

admin

8a3YwFo8xYlc

iBqxaDRj5T

dPNNfpR

fnIcszErnay

y9NzUJ

0sNBuzz63Nl8

ZJsji0QShXfiM

3ALPeOppOKOEk

C4EZdigYE64r

0M7vKY

6oVAnp

A0T6Z0j1NFrrQ

Johnson

Olivia

Vh2ij

5Li9Ls

yMBCh9wwy

FWpuxsyMQZZNW

Admin

Lisa

QYbRCr

TyLbns

H0USlDC58dVLE

RmJCA

Administrator_

13.2 屏蔽的計算機名稱

user-pc

8a3YwFo8xYlc-PC

iBqxaDRj5T-PC

dPNNfpR-PC

fnIcszErnay-PC

y9NzUJ-PC

0sNBuzz63Nl8-PC

art-PC

C4EZdigYE64r-PC

0M7vKY-PC

6oVAnp-PC

Johnson-PC

Desktop-HRW10

Vh2ij-PC

5Li9Ls-PC

yMBCh9wwy-PC

PGHFTIGN5920348

CPCTBGSA2018901

ADMINIS-HJ9SRP3

Lisa-PC

QYbRCr-PC

TyLbns-PC

RmJCA-PC

13.3 屏蔽的父文件夾名

Downloads

mydownload

Desktop

system32

Temp

13.4 屏蔽的MAC地址

00[:]07:e9:e4:ce:4d

60[:]02:92:e5:2f:30

60[:]02:92:77:fc:94

52[:]54:00:12:34:56

08[:]00:27:55:12:e3

60[:]02:92:89:76:36

00[:]00:00:00:00:00:00:e0

13.5 屏蔽的IP位址

51[.]68.93.185

79[.]104.209.156

89[.]208.29.214

95[.]25.130.162

51[.]15.76.60

62[.]102.148.68

207[.]102.138.40

51[.]83.15.56

109[.]70.100.24

109[.]70.100.29

128[.]90.148.185

78[.]142.19.43

46[.]165.254.166

221[.]191.21.11

153[.]201.39.205

92[.]211.106.185

51[.]68.91.152

89[.]208.29.215

185[.]220.101.35

95[.]26.100.11

參考及來源：https://blog.talosintelligence.com/2020/06/indigodrop-maldocs-cobalt-strike.html