大量包含CobaltStrike木馬的郵件襲來，如何一招甄別？

10個攻擊隊，9個在用CobaltStrike。一句話便足以概括這款黑客工具的江湖地位。

普通人也許難以想象：一個幾百KB（甚至比一張高清照片還小）的程序，植入到目標電腦里，就能輕松做到鍵盤記錄、截取屏幕甚至是執行任意命令，它還能偽裝自己，迷惑和繞過各種安全防護設備 —— 而這只是CobaltStrike的一小部分特性。

CobaltStrike覆蓋了從武器構建到命令控制的多個攻擊階段，功能強大，擴展性強，且易于使用。自2012年誕生至今，CobaltStrike 已成為最受歡迎的滲透攻擊工具之一，在各類網絡安全演習活動中，總是能看到CobaltStrike及其魔改版的身影。今年當然不例外。

既然 CobaltStrike 這么厲害，防守方怎么辦？

作為網絡安全的防守方，微步在線云沙箱專門開發了“CobaltStrike場景檢測”功能，為廣大防守方提供一站式CobaltStrike檢測發現能力，專門針對CS木馬！

微步云沙箱如何檢測出CS木馬

微步云沙箱通過6大類，10個子類，總計數百條規則和檢測邏輯，對CobaltStrike進行全鏈路的檢測。其中6大類包含情報檢測、靜態檢測、主機行為、網絡行為、流量檢測和日志檢測。

樣本本身和運行內存檢測：

CobaltStrike配置信息提取：

CobaltStrike網絡行為檢測，包含其慣用的Stage URI、C2 URI、JA3指紋、JA3S指紋，以及域前置和云函數等隱蔽通信。

為了對抗流量檢測，目前大多CobaltStrike的通信都使用了HTTPS加密，而S云沙箱默認提供了全HTTPS解密能力，對于使用TLS加密通信的樣本，S云沙箱能提取到樣本運行時請求的域名或IP、Host，以及其他信息，用于分析檢測。

此外，S云沙箱還對外提供了解密后的PCAP下載功能，方便分析師進行進一步分析。

CobaltStrike流量檢測：

CobaltStrike日志檢測：

總之就是把樣本文件分析個底朝天。

實戰：微步云沙箱VS演習釣魚、投毒樣本

實戰，是檢驗實力的唯一標準。

演習才開始兩三天，微步云沙箱就已經捕獲到數百個CS相關釣魚樣本。

有的是直接向防守方相關人員發送釣魚郵件，這些郵件從主題到正文、誘餌圖標都經過了精心設計，攻擊隊可謂煞費苦心。

我們對這些釣魚樣本的誘鉺關鍵詞做了個簡單整理，參見下圖：

這些釣魚樣本的一部分圖標如下：

有的是在Github等平臺“投毒”，引誘防守方人員打開，例如：

演習至今，微步云沙箱已捕獲到數百個HW相關CS釣魚樣本。以下是微步云沙箱對最近發生的部分實戰場景下釣魚、投毒樣本的檢測結果：

如何使用微步云沙箱CS檢測功能

訪問微步云沙箱（https://s.threatbook.com/），上傳文件（不限郵件、壓縮包、或解壓后的文件），選擇合適的分析環境，等待幾分鐘即可。

如樣本不便公開，上傳時可將樣本設為隱私樣本。

另，云沙箱已支持部分加密郵件附件和加密文件的分析。不過對于加密文件，上傳時最好能一起提交解壓密碼，見下圖：