恶意通讯流量案例分析,钓鱼邮件附件链路执行,导致Cobalt Strike、IcedID木马受控等多种威胁行为
字数 2279 2025-08-05 11:39:45

恶意通讯流量分析教学文档:钓鱼邮件附件链路执行案例

1. 案例概述

本案例展示了一个完整的攻击链路,从钓鱼邮件附件开始,最终导致系统被植入IcedID木马和Cobalt Strike后门。攻击者通过精心设计的重定向手法、恶意脚本执行和多阶段载荷投放,成功实现了对目标系统的控制。

2. 分析平台与工具

  • 恶意数据包分析平台:基于SURICATA的威胁流量分析WEB应用
    • 地址:http://47.108.150.136:8080/IDS/
    • 特点:维护了8个规则库约10万条检测规则,包括ET/PRO库
  • 数据包获取:https://www.123pan.com/s/3BsPjv-lqhnd.html
  • 主要分析工具:Wireshark

3. 攻击链路全流程分析

3.1 初始访问阶段

攻击手法:合法网站重定向下载恶意VBS文件

  1. 受害者访问被污染的合法网站"vippartyrentals.net"
  2. 被重定向至恶意域名"precisiongroupsa.com/wqmfths"
  3. 下载恶意压缩包(通过TLS加密传输)

检测规则告警

  • ETPRO EXPLOIT_KIT 404 TDS Redirect
    • 特征:HTTP响应状态码为404但包含重定向指令
    • 响应体示例: 
      <meta http-equiv="refresh" content="0;https://precisiongroupsa.com/wqmfths">

3.2 执行阶段

攻击手法:VBS脚本执行释放IcedID木马

  1. 解压后获得.VBS文件
  2. 执行后释放文件到:%temp%/QzlWtcd/IXwmcoBtgW.dll
  3. 使用regsvr32.exe执行该DLL

3.3 载荷投放阶段

攻击手法:IcedID木马下载伪装载荷

  1. 连接C2域名"modalefastnow.com"
  2. 下载伪装为GZIP的二进制文件(HTTP头中Content-Type为"application/gzip")
    • 文件头为"1f8b08"但实际不是有效GZIP文件
  3. 处理后释放持久化DLL:
    • C:\Users[username]\user\AppData\Local[username]\Vijeum3.dll

检测规则告警

  • ET MALWARE Win32/IcedID Requesting Encoded Binary M4
  • ET MALWARE Win32/IcedID Request Cookie

3.4 C2通信阶段

攻击手法:IcedID变体连接C2

  1. 连接以下恶意域名(经情报确认):
    • skrechelres.com
    • jerryposter.com
    • jkbarmossen.com

3.5 横向移动阶段

攻击手法:反向VNC连接

  1. IcedID启动BackConnect VNC模块
  2. 回连攻击者控制端

检测规则告警

  • ET MALWARE W32.DarkVNC Variant Checkin

3.6 后续攻击阶段

攻击手法:投放Cobalt Strike

  1. 通过VNC下载"http64.exe"(Cobalt Strike载荷)
  2. 建立心跳连接:
    • 目标:hxxp://85.209.11.48/pixel.gif
    • 间隔:5秒

检测规则告警

  • CobaltStrike HTTP beacon response
  • Windows Powershell Request UserAgent
  • ET HUNTING GENERIC SUSPICIOUS POST to Dotted Quad with Fake Browser 1

3.7 远程控制阶段

攻击手法:下载ScreenConnect工具

  1. 从相同IP下载ScreenConnect(类似AnyDesk的合法工具)
  2. 用于规避安全软件检测

4. 关键告警分析与研判方法

4.1 404重定向检测

定位方法

ip.src==193.3.19.226 && http.response.code==404

研判要点

  • 响应体包含<meta refresh>重定向
  • 用户访问404页面但被重定向到可疑URL

4.2 IcedID请求检测

定位方法

  1. 先定位DNS查询: 
    dns.qry.name==modalefastnow.com
  2. 再定位HTTP请求: 
    ip.addr==212.18.104.12 && (http.request || tls.handshake.type==1)

研判要点

  • 匹配特定Cookie字段和Hex流特征
  • 确认本地IP与C2域名通信

4.3 PowerShell User-Agent检测

定位方法

  • 在HTTP请求中搜索"PowerShell" User-Agent

研判要点

  • 非人为的自动化请求
  • 通常与恶意脚本执行相关

4.4 Cobalt Strike Beacon检测

检测规则特征

  • HTTP 200响应
  • 无Server头
  • Content-Type: application/octet-stream
  • Content-Length: 0

研判方法

  1. 结合规则匹配
  2. 验证IP威胁情报(如85.209.11.48确认为C2)

5. 防御建议

  1. 网络层防御

    • 部署基于规则的IDS/IPS系统
    • 监控异常HTTP响应(如404重定向)
    • 拦截已知恶意域名/IP

  2. 终端防御

    • 限制脚本执行(如VBS、PowerShell)
    • 监控regsvr32.exe等可疑进程创建
    • 检测伪装文件类型(如假GZIP文件)

  3. 安全意识

    • 警惕钓鱼邮件和附件
    • 不轻易访问不明链接

  4. 应急响应

    • 建立完整流量日志留存机制
    • 定期检查异常外连行为
    • 准备威胁情报查询流程

6. 总结

本案例展示了从初始入侵到完全控制的全过程,攻击者使用了多种规避技术和多阶段载荷。通过分析恶意流量特征和安全告警,可以有效地识别和阻断此类攻击。关键点在于:

  1. 关注异常HTTP行为和响应
  2. 识别恶意软件特有通信模式
  3. 结合威胁情报验证可疑活动
  4. 理解完整攻击链以进行有效防御
恶意通讯流量分析教学文档:钓鱼邮件附件链路执行案例 1. 案例概述 本案例展示了一个完整的攻击链路,从钓鱼邮件附件开始,最终导致系统被植入IcedID木马和Cobalt Strike后门。攻击者通过精心设计的重定向手法、恶意脚本执行和多阶段载荷投放,成功实现了对目标系统的控制。 2. 分析平台与工具 恶意数据包分析平台 :基于SURICATA的威胁流量分析WEB应用 地址:http://47.108.150.136:8080/IDS/ 特点:维护了8个规则库约10万条检测规则,包括ET/PRO库 数据包获取 :https://www.123pan.com/s/3BsPjv-lqhnd.html 主要分析工具 :Wireshark 3. 攻击链路全流程分析 3.1 初始访问阶段 攻击手法 :合法网站重定向下载恶意VBS文件 受害者访问被污染的合法网站"vippartyrentals.net" 被重定向至恶意域名"precisiongroupsa.com/wqmfths" 下载恶意压缩包(通过TLS加密传输) 检测规则告警 : ETPRO EXPLOIT_KIT 404 TDS Redirect 特征:HTTP响应状态码为404但包含重定向指令 响应体示例: 3.2 执行阶段 攻击手法 :VBS脚本执行释放IcedID木马 解压后获得.VBS文件 执行后释放文件到: %temp%/QzlWtcd/IXwmcoBtgW.dll 使用regsvr32.exe执行该DLL 3.3 载荷投放阶段 攻击手法 :IcedID木马下载伪装载荷 连接C2域名"modalefastnow.com" 下载伪装为GZIP的二进制文件(HTTP头中Content-Type为"application/gzip") 文件头为"1f8b08"但实际不是有效GZIP文件 处理后释放持久化DLL: C:\Users[username]\user\AppData\Local[username]\Vijeum3.dll 检测规则告警 : ET MALWARE Win32/IcedID Requesting Encoded Binary M4 ET MALWARE Win32/IcedID Request Cookie 3.4 C2通信阶段 攻击手法 :IcedID变体连接C2 连接以下恶意域名(经情报确认): skrechelres.com jerryposter.com jkbarmossen.com 3.5 横向移动阶段 攻击手法 :反向VNC连接 IcedID启动BackConnect VNC模块 回连攻击者控制端 检测规则告警 : ET MALWARE W32.DarkVNC Variant Checkin 3.6 后续攻击阶段 攻击手法 :投放Cobalt Strike 通过VNC下载"http64.exe"(Cobalt Strike载荷) 建立心跳连接: 目标:hxxp://85.209.11.48/pixel.gif 间隔:5秒 检测规则告警 : CobaltStrike HTTP beacon response Windows Powershell Request UserAgent ET HUNTING GENERIC SUSPICIOUS POST to Dotted Quad with Fake Browser 1 3.7 远程控制阶段 攻击手法 :下载ScreenConnect工具 从相同IP下载ScreenConnect(类似AnyDesk的合法工具) 用于规避安全软件检测 4. 关键告警分析与研判方法 4.1 404重定向检测 定位方法 : 研判要点 : 响应体包含 <meta refresh> 重定向 用户访问404页面但被重定向到可疑URL 4.2 IcedID请求检测 定位方法 : 先定位DNS查询: 再定位HTTP请求: 研判要点 : 匹配特定Cookie字段和Hex流特征 确认本地IP与C2域名通信 4.3 PowerShell User-Agent检测 定位方法 : 在HTTP请求中搜索"PowerShell" User-Agent 研判要点 : 非人为的自动化请求 通常与恶意脚本执行相关 4.4 Cobalt Strike Beacon检测 检测规则特征 : HTTP 200响应 无Server头 Content-Type: application/octet-stream Content-Length: 0 研判方法 : 结合规则匹配 验证IP威胁情报(如85.209.11.48确认为C2) 5. 防御建议 网络层防御 : 部署基于规则的IDS/IPS系统 监控异常HTTP响应(如404重定向) 拦截已知恶意域名/IP 终端防御 : 限制脚本执行(如VBS、PowerShell) 监控regsvr32.exe等可疑进程创建 检测伪装文件类型(如假GZIP文件) 安全意识 : 警惕钓鱼邮件和附件 不轻易访问不明链接 应急响应 : 建立完整流量日志留存机制 定期检查异常外连行为 准备威胁情报查询流程 6. 总结 本案例展示了从初始入侵到完全控制的全过程,攻击者使用了多种规避技术和多阶段载荷。通过分析恶意流量特征和安全告警,可以有效地识别和阻断此类攻击。关键点在于: 关注异常HTTP行为和响应 识别恶意软件特有通信模式 结合威胁情报验证可疑活动 理解完整攻击链以进行有效防御