一.简介

本文回顾最近的BazarLoader感染，分析如何导致Cobalt Strike，以及Cobalt Strike 如何导致网络侦察。

BazarLoader 是基于 Windows 的恶意软件，通过涉及电子邮件的各种方法传播。这些感染提供了犯罪分子用来确定主机是否是 Active Directory (AD) 环境的一部分的后门访问。如果是这样，犯罪分子会部署 Cobalt Strike 并执行侦察以绘制网络地图。如果结果表明是高价值目标，犯罪分子就会尝试横向移动，并且通常会部署勒索软件，如 Conti 或 Ryuk。

二. 研究内容

2.1 恶意的Excel表格

文件名的文件扩展名为.xlsb。此文件存在宏病毒，目的是使用 BazarLoader 感染易受攻击的Windows主机。和常见的钓鱼邮件一样，该文件使用了品牌DocuSign来迷惑受害者的判断。

在主机上启用恶意宏后，电子表格显示了一个包含虚假发票信息的页面的新选项卡。

2.2 查看隐藏的恶意代码

文件中的代码做了隐藏，因此直接使用常规的脚本并不能提取到。这里使用手动查看。为了不让宏直接运行，首先调出VBA编辑器，这里并不能看到恶意代码。我们需要找到原先隐藏的content栏，并修改visible的值为”-1 -xlSheetVisible “，原先的值为”0 -xlSheetHidden”，然后保存设置，重新打开excel。

选取出现的content栏，右击点击取消隐藏，之后就会跳出三个隐藏的工作表，依次将它们全部取消隐藏。

打开取消的隐藏工作表，不要管左侧出现的一大段无用字符串，仔细观察最上面的横向分类栏的字母顺序AO-AU。会发现，少了AP，AQ，AR，AS，AT栏。

选中横向栏，然后右击点击取消隐藏，然后就会出现隐藏的恶意代码了。三张表都是同样的操作。

三张表的隐藏内容如下，原理上就是通过函数进行拼接字符串。

拼接后，我们整理出几个有意义的恶意代码，分别是：

2.3 BazarLoader二进制文件

该电子表格的宏代码从以下URL检索到BazarLoader的恶意动态链接库(DLL)文件：hxxps://pawevi[.]com/lch5.dll

DLL被保存到受害者的主目录C:\Users\[username]\tru.dll。它使用运行 regsvr32.exe。

BazarLoader DLL立即被复制到另一个位置，并通过Windows注册表进行持久化保存。文件名从更改tru.dll为 kibuyuink.exe，即使它仍然是一个DLL并且仍然需要regsvr32.exe 才能运行。

2.4 BazarC2流量

这个BazarLoader示例生成了C2活动，使用来自104.248.174[.]225:443的HTTPS 流量检索Bazar后门。然后 BazarBackdoor 使用到104.248.166[.]170:443的HTTPS流量的C2 活动。这种组合的C2活动称为BazarC2流量。

2.5 Cobalt Strike活动

在最初的BazarLoader感染后大约41分钟，受感染的 Windows 主机开始使用 HTTPS 流量生成 Cobalt Strike 活动到gojihu[.]com和yuxicu[.]com。

在这种情况下，Cobalt Strike DLL文件通过BazarC2流量发送并保存到用户下的受感染Windows主机AppData\Roaming目录。

2.6 AD侦查活动

在本文的案例研究中，Cobalt Strike活动开始大约两分钟后，一个用于枚举 AD 环境的工具出现在受感染主机上的C:\ProgramData\AdFind.exe。AdFind是一个命令行工具，被恶意用来从AD环境中收集信息。在本文案例研究中使用了一个关联的批处理文件adf.bat来运行该工具，并保存搜索结果。

adf.bat使用命令运行AdFind.exe，这些命令显示来自目标AD环境的用户、计算机、文件共享和其他信息。

2.7 总结

此案例研究揭示了一个初始恶意软件感染转移到Cobalt Strike，然后是侦察活动的示例。当攻击者使用Cobalt Strike时，他们还可以在AD环境中执行其他类型的侦察。

如果AD环境是一个高价值目标，攻击者的下一步是横向移动并获得对网络中域控制器和其他服务器的访问权限。

2.8 IOC

Virus.xlsb：

8662d511c7f1bef3a6e4f6d72965760345b57ddf0de5d3e6eae4e610216a39c1

lch5.dll/tru.dll/kibuyuink.exe：

caa03c25583ea24f566c2800986def73ca13458da6f9e888658f393d1d340ba1

nubqabmlkp.iowd：

73b9d1f8e2234ef0902fca1b2427cbef756f2725f288f19edbdedf03c4cadab0

AdFind.exe：

b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682

adf.bat：

1e7737a57552b0b32356f5e54dd84a9ae85bb3acff05ef5d52aabaa996282dfb

三. 防御建议

1．不要随便打开未知来源的文档，尤其是慎重启用宏功能。

2．做好对垃圾邮件的过滤，并及时更新安全补丁或系统。