如今，高水平的攻击者能够便捷的使用商业工具和恶意软件，并以非常简单的初始传播方法来保持低调，从而远离可能的溯源。最常见的方法之一是通过使用社交工程或包含常用漏洞（例如CVE-2017-0199或ThreadKit builder）的网络钓鱼电子邮件来欺骗目标机构的员工。一旦开始感染，攻击者就会变得更高明，部署高级定制恶意软件、更高级的工具，使用living-off-the land 工具（如PowerShell，CMSTP或Regsvr32） 。

此方法使得威胁猎人和防御者如大海捞针般更难以识别攻击行动及其目标。然而，即便攻击者使用商业生成器和工具，也总是有机会找到有助于识别和跟踪行动者基础设施的特定信号或特征。其中一个以遵循这些TTP而知名的组织是Cobalt Gang，即使他们的领导人今年在西班牙被捕后，该组织依然活跃。

在2018年10月期间，Unit42一直在调查Cobalt Gang，同时利用已有研究报告中公开的最新信息，例如Talos或Morphisec描述的信息，以帮助发现与此攻击组织相关的新的基础设施。

因此，我们能够识别出常见宏生成器以及特定的文档元数据，这些元数据使我们能够跟踪和聚类与Cobalt Gang相关的新活动及基础架构。

一、最近一起有效的传播实例

正在分析的最新一个样本被用于几天前的攻击中，结果显示该组织的攻击传播非常简单。

该攻击再次强化了这一事实：电子邮件仍然是主要攻击媒介之一。该攻击首先使用主题为“于2018年10月16日确认”的电子邮件针对全球多家银行的员工。

图1中显示的样本可以在流行的公共在线恶意软件存储库中找到。

(SHA256: 5765ecb239833e5a4b2441e3a2daf3513356d45e1d5c311baeb31f4d503703e).

图1.电子邮件传播示例

附件只是一个没有任何代码或漏洞利用的PDF文档。相反，它试图使用社交工程来说服用户点击链接下载恶意宏。这是Cobalt Gang之前使用过的方法，并在之前的研究中已经讨论过，如Talos。

图2.带有嵌入链接的PDF样本

PDF很简单，嵌入了一个链接，可以打开合法的Google，并将浏览器重定向到恶意文档：

图3.浏览器重定向到恶意文档

为有效对抗静态分析工具，攻击者精心设计的PDF看起来更真实：它包含空白页面以及一些文本页面，这有助于在分析过程中不会出现警告标记，如图4和图5所示。请记住，内容页面数量少或熵高的PDF可能会在静态分析中引发可疑标记。

图4. PDF静态分析

图5.用于填充页面的PDF文本

通过采用这两种技术，该PDF几乎可以避免所有传统的AV检测，从而通过电子邮件非常有效的传播第一阶段的攻击。

如果攻击发生，用户将下载包含恶意宏的MS Word文档，该恶意宏在此行动传播时的检测率非常低。从元数据的角度来看，该文档不包含任何可帮助我们跟踪同一作者文档的特定信号或特征，如图6所示。

图6. Doc102018.doc元数据

下载的恶意宏使用cmstp.exe来运行“scriptlet”，这是一种众所周知的绕过AppLocker的技术，并继续进行有效载荷传播的下一阶段。本项研究的目的不是有效载荷分析，而是关注攻击传播的方方面面，以便进一步跟踪参与者的行动及其相关基础设施。

所以，现在的问题是——这种简单的传播方法如何帮助确定行动和目标？

二、宏生成器识别

该攻击中宏代码的检出率相当低，因此调查的第一个重点是识别可能的底层生成器。通过查看“Doc102018.doc”的宏代码，我们可以提出多种理论。

宏代码的长度超过1500行，并在开头使用非常明显的命名法声明一组变量（在此示例中，letXX(num)）：

图7.宏变量格式示例

一些变量用于基于单个字符分配的长编码/解码：

图8.在解码中使用特定的变量格式

程序和函数也使用相同的命名法定义（在此示例中，letXX()）：

图9. VBA代码中的过程和函数

它在运行时调用CallByName API：

图10.在VBA代码中使用CallByName

如果我们分析与Cobalt Gang相关的之前的一些样本，比如Morphisec描述的样本，也可以观察到此模式（在该例中，使用PkXX而不是letXX）：

图11.其他文档中的VBA模式

一个寻找模式的初始方法是基于以下不同区域的正则表达式：

为测试对生成器的假设，我们创建以下Yara规则：

rule cmstp_macro_builder_rev_a
{
    meta:
        description="CMSTP macro builder based on variable names and runtime invoke"
        author="Palo Alto Networks Unit42"
    strings:
        $method="CallByName"
        $varexp=/[A-Za-z]k[0-9]{2}([0-9]{1})/
    condition:
        $method and
        #method == 2 and
        #varexp > 10
 
}
 
rule cmstp_macro_builder_rev_b {
    meta:
        description="CMSTP macro builder based on routines and functions names and runtime invoke"
        author="Palo Alto Networks Unit42"
    strings:
        $func=/Private Function [A-Za-z]{1,5}[0-9]{2,3}\(/
        $sub=/Sub [A-Za-z]{1,5}[0-9]{2,5}\(/
        $call="CallByName"
    condition:
        $call and
        #func > 1 and
        #sub > 1
}

使用这些Yara规则进行搜索能够识别此生成器以及使用它的一组恶意文档。但是，所确定的文件并不总是针对金融行业或银行业，因此，我们无法保证此生成器仅供此特定的Cobalt Gang组织使用，专门用于针对这些行业的攻击。

但是，将此与其他方面（如目标，有效载荷特征）结合，在跟踪此组织的攻击行动时非常有用，我们将在后续各节中看到。

首先重点关注一下传播的第一阶段——PDF文档。

三、PDF文档中的常见信号

正如我们所看到的，使用带有嵌入式Google重定向链接的商业PDF文件会产生非常有效的社交工程部件。由于没有漏洞利用或代码执行，现在我们的研究将重点放在文档的元数据信息上，以便进一步分析。

图12. PDF Exiftool元数据

我们的下一个假设是检查是否可以基于模板文档创建PDF，在模板中作者修改PDF中的嵌入链接并随时保存不同的文档版本。

根据XMP规范，我们将关注“DocumentID”和“InstanceID”媒体管理属性的值：

图13. XMP媒体管理属性

为确认这一假设，让我们关注DocumentID元数据字段。基本上，使用2个不同的链接保存相同的模板将产生相同的DocumentID但有多个InstanceID（每个保存的文档一个）。

在我们的遥测数据中搜索此元数据内容看到了有意思的结果。

为帮助搜索，还可以使用以下Yara规则：

rule cobaltgang_pdf_metadata_rev_a{
    meta:
        description="Find documents saved from the same potential Cobalt Gang PDF template"
        author="Palo Alto Networks Unit 42"
    strings:
             $ = "<xmpMM:DocumentID>uuid:31ac3688-619c-4fd4-8e3f-e59d0354a338" ascii wide
    condition:
             any of them
}

结果证实了我们的假设（参见IOC附录），我们能够找到多个PDF文件，这些文件内容不同但均从同一个“模板”开始，都具有相同的特征。

图14.示例PDF文档

对攻击后续阶段的进一步分析使我们能够确认样本是否与Cobalt Gang活动相关。

例如，分析以下文档：

该文件通过电子邮件发送，主题为“2018年10月8日的资金转账”，针对银行客户：

图15.与REMITTER REFERENCE PMT.pdf相关的电子邮件数据

它包含重定向到以下URL的嵌入式链接：

hxxps://fundswp[.]com/Document082018.doc

下载文件：

通过提取宏代码，我们可以验证它与上一节中描述的宏生成器匹配。下述输出显示了如何根据文档提取的VBA内容运行Yara规则搜索宏生成器，达成预期的匹配：

❯ yara cmstp_macro_builder.yar 020ba5a273c0992d62faa05144aed7f174af64c836bf82009ada46f1ce3b6eee_subfiles
 
cmstp_macro_builder_2 
020ba5a273c0992d62faa05144aed7f174af64c836bf82009ada46f1ce3b6eee_subfiles/e657fe761effbe7e11e3cc343ba6845c2c9a6c989e7b805717d2e1417387528f.vba.decoded
 
cmstp_macro_builder_2 
020ba5a273c0992d62faa05144aed7f174af64c836bf82009ada46f1ce3b6eee_subfiles/8a6d2cccb6f2007cb7fa29d3f009f9fbe305bffc45dc35d3828f2dc3c41b3cb7.vba.raw

如果我们现在正确看待这个问题，那么谜题就与该行动相匹配：

1.在针对银行的电子邮件传播活动中，使用了相同“DocumentID”管理元数据字段创建的PDF文件。

2.所有PDF文件都嵌入了基于Google重定向的链接，从而下载Microsoft Office文档。

3.Microsoft Office文档包含用于执行代码的宏。这些宏与我们已经澄清的生成器的特征相匹配。

四、发现攻击者的基础设施

通过已有的这些结果（例如前面定义的狩猎规则，我们的遥测获得的会话数据，或公用的WHOIS注册商数据），可以开始寻找攻击者的基础设施

使用“狩猎规则”

根据元数据和生成器特征，我们跟踪了一组恶意PDF和Office文件（请参阅附录），这些文件为我们提供了攻击者正在使用的域名和Office文件。

PDF和嵌入式C2链接和文档名的一些样本如下表1所示：

表1.示例PDF和嵌入式链接

PDF文档和URL使我们能够发现这个新基础设施与之前研究中有关Cobalt Gang归属活动的已有知识有很多重合，证实新基础设施属于同一攻击者。

让我们看一下列表中属于同一Document ID的PDF文档的几个样本。

此样本已在之前的攻击中记录，与s3[.]sovereigncars[.]org[.]uk域名相关。请参阅Talos blog。

该样本嵌入了URL hxxps://goo[.]gl/mn7iGj，它实际上是一个短URL，解析为hxxps://document[.]cdn-one[.]biz/doc000512.pdf.。

document[.]cdn-one[.]biz是之前分析中归属Cobalt Gang的域名。

PDF使用的域名的完整列表可以在附录部分找到。

转向邮件发件人

根据电子邮件传送的数据，我们的遥测技术可帮助收集与攻击行动相关的样本和指标。

让我们举一个简单的例子，说明通过使用发送PDF文档的恶意电子邮件会话中识别的一些电子邮件发件人数据，就可以跟踪会话数据，引导我们识别新的基础架构。

例如，以下发件人属于最近的攻击行动，用于欺骗合法的电子邮件域名和发件人：

这些发件人传播的一些样本及其嵌入式链接如下表2所示：

表2.电子邮件发件人关联的PDF和嵌入式链接

这些样本使用下列文件名进行传播：

域名和文件名都与基于搜索PDF元数据和宏生成器而获得的域名相关联，从而让我们可以继续实时跟踪新行动。

五、WHOIS注册人重合

收集到的PDF文档中使用的两个新发现的域名具有非常有意思的注册人信息，指向同一个注册人“grigoredanbadescu”。

图16. safesecurefiles [.] com上的历史DNS数据

域名:

safesecurefiles[.]com

document[.]cdn-one[.]biz

WHOIS 注册信息:

转向与同一注册人相关的基础架构，可以获得一组非常有趣的域名：

· arubrabank[.]com

· outlook-368[.]com

· usasecurefiles[.]com

· safesecurefiles[.]com

· ms-server838[.]com

· msoffice-365[.]com

· total-share[.]biz

· bank-net[.]biz

· cdn-one[.]biz

· total-cloud[.]biz

· web-share[.]biz

· cloud-direct[.]biz

· n-document[.]biz

· my-documents[.]biz

· firstcloud[.]biz

· yourdocument[.]biz

· xstorage[.]biz

· safe-cloud[.]biz

· via24[.]biz

· zstorage[.]biz

· webclient1[.]biz

· bnet1[.]biz

· firstcloud[.]biz

· mycontent[.]biz

· total7[.]biz

· freecloud[.]biz

· contents[.]bz

· judgebin[.]bz

列出的许多域名已经被归结为Cobalt Gang在其他攻击行动中使用的恶意域名。

一个重要的注释，“arubrabank [.] com”是一个在2018-09-18注册的新域名，在活跃的攻击行动中仍然没有观察到。

该域名旨在模仿合法的Arubabank网站以开展进一步的行动：

图17. Arubabank合法网站

六、基础设施关系图

让我们总结一下所掌握的东西，现在可以将观察到的所有关系组合在一起。

图18. Maltego图

在不同行动的集群中可以观察到：

1.左侧的初始PDF文档集链接到特定域名下载使用宏生成器生成的Microsoft Office文件。

2.某些正在使用的域名由“grigoredanbanescu”注册，我们查找到其他相关域名，这些域名与Cobalt Gang之前的行动相关联。

3.一些初始PDF与关联到“grigoredanbanescu”的Microsoft Office文件有关，再次确认了关系。

七、总结

商业攻击被广泛用于犯罪和更有针对性的攻击，使网络维护者和威胁猎人更加难以识别。Cobalt Gang就是一个广泛使用这种方法来破坏受害者的攻击者。

通过关注宏生成器和元数据的特定方面，我们能够开发的新的机制来跟踪和追捕Cobalt Gang行动和基础设施。

IoC参见原文