响尾蛇组织使用DLL劫持加载Cobalt Strike攻击巴基斯坦政府

字数 3057 2025-08-10 21:31:38

响尾蛇组织DLL劫持加载Cobalt Strike攻击分析

一、组织背景

响尾蛇组织(Sidewinder/APT-C-17/T-APT-04)：

南亚地区APT组织
活跃时间：最早可追溯至2012年，至今仍活跃
主要目标：中国、巴基斯坦等亚洲国家
攻击目标：政府机构、军事单位
主要目的：窃取敏感信息

二、攻击概述

攻击流程

初始感染：钓鱼邮件攻击
- 附件名称："Adv-16-2023"
- 伪装内容：巴基斯坦内阁部门发布的网络安全咨询16号文件
- 诱骗手段：声称文档受微软Azure云安全保护，诱导下载带密码的压缩包

攻击链：

钓鱼邮件 → 带密码RAR压缩包 → 恶意LNK文件 → HTA下载脚本 → DLL侧加载 → Cobalt Strike载荷

攻击特点

简化攻击流程
样本制作成本低
利用OneDrive客户端及其更新程序实现持久化

三、详细技术分析

1. 初始阶段样本

RAR压缩包内容：

包含伪装成PDF的LNK文件："Advisory-16-2023.pdf.lnk"

LNK文件信息：

属性	值
文件大小	2300 bytes
文件类型	LNK
功能	Downloader
MD5	AAA784E212C4F65E95B43F56B81E4AB4
SHA256	C1BFF4A3E396EBABC8ABBA92AF92B5345ED5E044366A346480E141E847B47BF9

LNK行为：

执行mshta下载远程HTA文件(something.hta)

2. HTA下载脚本

HTA文件信息：

属性	值
文件大小	680 bytes
文件类型	HTA
功能	Downloader
MD5	2BCE7A8E34E4751C8E421BAA4C4A0ADA
SHA256	F0CB23D26AF39BBFAE450F37BC7642B59D30EE346020485FECC5CD8C33D2190A

HTA行为：

执行VBScript脚本
下载后续组件(version.dll)

3. DLL劫持阶段

version.dll信息：

属性	值
文件大小	275456 bytes
文件类型	DLL
功能	RAT
存放路径	%LOCALAPPDATA%\Microsoft\OneDrive\
MD5	F2974B8D6B0B2774F49642D53BDEE8A4
SHA256	37E3465D6FCCFAE6E1C29526AA015A766F8FC26CC61ED821F3E0B44D794C99EC

技术细节：

导出函数GetFileInfoSize和GetFileVersionInfoSizeW指向同一偏移量

函数调用链：

GetFileVersionInfoSizeW → FUN_180001120 → 解密执行载荷

反检测技术：

读取系统目录下ntdll中的.text段
替换当前进程加载的ntdll中的.text段
解除安全软件设置的函数挂钩

载荷解密与执行：

计算硬编码16字节数据的SHA256值作为AES-256密钥
解密出shellcode
反射加载Cobalt Strike beacon

4. C2连接

C2地址：35.175.135.236
持久化：利用OneDriveStandaloneUpdater.exe的计划任务

四、关联攻击分析

1. 关联域名

格式为[xxx]govpk.servehttp.com的域名：

ntc-govpk.servehttp.com
finance-govpk.servehttp.com
csd-govpk.servehttp.com
online-csdgovpk.servehttp.com
nlc-govpk.servehttp.com
nhsrcgovpk.servehttp.com
fintech-govpk.servehttp.com
financegovpk.servehttp.com
cap-mofagovpk.servehttp.com
sdmx-financegovpk.servehttp.com
financeptcl-govpk.servehttp.com

2. 其他攻击样本

Excel钓鱼文档：

名称：Elligible-Employee-List.xls
行为：
- 要求启用宏才能查看内容
- 删除诱导图片显示诱饵信息
- 使用UrlDownloadFileA下载version.dll到OneDrive目录

五、防御建议

1. 检测建议

监控%LOCALAPPDATA%\Microsoft\OneDrive\目录下的version.dll
检测OneDrive.exe和OneDriveStandaloneUpdater.exe加载异常DLL的行为
关注格式为[xxx]govpk.servehttp.com的域名访问
检测Cobalt Strike beacon特征

2. 防护措施

禁用不必要的宏执行
对邮件附件进行严格检查
更新终端防护软件的DLL劫持检测规则
监控计划任务的异常修改

六、IOC列表

域名IOC

ntc-govpk.servehttp.com
finance-govpk.servehttp.com
online-csdgovpk.servehttp.com
nlc-govpk.servehttp.com
nhsrcgovpk.servehttp.com
fintech-govpk.servehttp.com
financegovpk.servehttp.com
cap-mofagovpk.servehttp.com
sdmx-financegovpk.servehttp.com
financeptcl-govpk.servehttp.com
csd-govpk.servehttp.com

URL IOC

https://ntc-govpk.servehttp.com/Advisory-16-2023.rar
https://ntc-govpk.servehttp.com/something.hta
https://ntc-govpk.servehttp.com/favicon.ico
https://csd-govpk.servehttp.com/Advisory-16-2023.rar
https://finance-govpk.servehttp.com/favicon.ico

文件哈希

类型	值
MD5	7162E20A67DD282521551BF837262AEB
MD5	10037294980F113455F24AADA64090F2
MD5	AAA784E212C4F65E95B43F56B81E4AB4
MD5	2BCE7A8E34E4751C8E421BAA4C4A0ADA
MD5	F2974B8D6B0B2774F49642D53BDEE8A4
MD5	07CF5EC1D5C06AAA044ECF6EEDC22BE8

IP IOC

35.175.135.236

响尾蛇组织DLL劫持加载Cobalt Strike攻击分析一、组织背景响尾蛇组织(Sidewinder/APT-C-17/T-APT-04) ：南亚地区APT组织活跃时间：最早可追溯至2012年，至今仍活跃主要目标：中国、巴基斯坦等亚洲国家攻击目标：政府机构、军事单位主要目的：窃取敏感信息二、攻击概述攻击流程初始感染：钓鱼邮件攻击附件名称："Adv-16-2023" 伪装内容：巴基斯坦内阁部门发布的网络安全咨询16号文件诱骗手段：声称文档受微软Azure云安全保护，诱导下载带密码的压缩包攻击链：攻击特点简化攻击流程样本制作成本低利用OneDrive客户端及其更新程序实现持久化三、详细技术分析 1. 初始阶段样本 RAR压缩包内容：包含伪装成PDF的LNK文件："Advisory-16-2023.pdf.lnk" LNK文件信息： | 属性 | 值 | |------|----| | 文件大小 | 2300 bytes | | 文件类型 | LNK | | 功能 | Downloader | | MD5 | AAA784E212C4F65E95B43F56B81E4AB4 | | SHA256 | C1BFF4A3E396EBABC8ABBA92AF92B5345ED5E044366A346480E141E847B47BF9 | LNK行为：执行mshta下载远程HTA文件(something.hta) 2. HTA下载脚本 HTA文件信息： | 属性 | 值 | |------|----| | 文件大小 | 680 bytes | | 文件类型 | HTA | | 功能 | Downloader | | MD5 | 2BCE7A8E34E4751C8E421BAA4C4A0ADA | | SHA256 | F0CB23D26AF39BBFAE450F37BC7642B59D30EE346020485FECC5CD8C33D2190A | HTA行为：执行VBScript脚本下载后续组件(version.dll) 3. DLL劫持阶段 version.dll信息： | 属性 | 值 | |------|----| | 文件大小 | 275456 bytes | | 文件类型 | DLL | | 功能 | RAT | | 存放路径 | %LOCALAPPDATA%\Microsoft\OneDrive\ | | MD5 | F2974B8D6B0B2774F49642D53BDEE8A4 | | SHA256 | 37E3465D6FCCFAE6E1C29526AA015A766F8FC26CC61ED821F3E0B44D794C99EC | 技术细节：导出函数 GetFileInfoSize 和 GetFileVersionInfoSizeW 指向同一偏移量函数调用链：反检测技术：读取系统目录下ntdll中的.text段替换当前进程加载的ntdll中的.text段解除安全软件设置的函数挂钩载荷解密与执行：计算硬编码16字节数据的SHA256值作为AES-256密钥解密出shellcode 反射加载Cobalt Strike beacon 4. C2连接 C2地址：35.175.135.236 持久化：利用OneDriveStandaloneUpdater.exe的计划任务四、关联攻击分析 1. 关联域名格式为 [xxx]govpk.servehttp.com 的域名： ntc-govpk.servehttp.com finance-govpk.servehttp.com csd-govpk.servehttp.com online-csdgovpk.servehttp.com nlc-govpk.servehttp.com nhsrcgovpk.servehttp.com fintech-govpk.servehttp.com financegovpk.servehttp.com cap-mofagovpk.servehttp.com sdmx-financegovpk.servehttp.com financeptcl-govpk.servehttp.com 2. 其他攻击样本 Excel钓鱼文档：名称：Elligible-Employee-List.xls 行为：要求启用宏才能查看内容删除诱导图片显示诱饵信息使用UrlDownloadFileA下载version.dll到OneDrive目录五、防御建议 1. 检测建议监控 %LOCALAPPDATA%\Microsoft\OneDrive\ 目录下的version.dll 检测OneDrive.exe和OneDriveStandaloneUpdater.exe加载异常DLL的行为关注格式为 [xxx]govpk.servehttp.com 的域名访问检测Cobalt Strike beacon特征 2. 防护措施禁用不必要的宏执行对邮件附件进行严格检查更新终端防护软件的DLL劫持检测规则监控计划任务的异常修改六、IOC列表域名IOC ntc-govpk.servehttp.com finance-govpk.servehttp.com online-csdgovpk.servehttp.com nlc-govpk.servehttp.com nhsrcgovpk.servehttp.com fintech-govpk.servehttp.com financegovpk.servehttp.com cap-mofagovpk.servehttp.com sdmx-financegovpk.servehttp.com financeptcl-govpk.servehttp.com csd-govpk.servehttp.com URL IOC https://ntc-govpk.servehttp.com/Advisory-16-2023.rar https://ntc-govpk.servehttp.com/something.hta https://ntc-govpk.servehttp.com/favicon.ico https://csd-govpk.servehttp.com/Advisory-16-2023.rar https://finance-govpk.servehttp.com/favicon.ico 文件哈希 | 类型 | 值 | |------|----| | MD5 | 7162E20A67DD282521551BF837262AEB | | MD5 | 10037294980F113455F24AADA64090F2 | | MD5 | AAA784E212C4F65E95B43F56B81E4AB4 | | MD5 | 2BCE7A8E34E4751C8E421BAA4C4A0ADA | | MD5 | F2974B8D6B0B2774F49642D53BDEE8A4 | | MD5 | 07CF5EC1D5C06AAA044ECF6EEDC22BE8 | IP IOC 35.175.135.236