攻击组织代号Cold River:通过NTA对恶意程序的深度分析
字数 2510 2025-08-18 11:38:49

Cold River攻击组织技术分析与防御指南

1. 攻击组织概述

Cold River是一个复杂的攻击组织,主要针对中东地区(尤其是黎巴嫩和阿拉伯联合酋长国)以及与这些国家关系密切的印度和加拿大公司。该组织具有以下特征:

  • 使用DNS隧道作为C&C通信
  • 利用证书欺骗技术
  • 采用隐蔽的C2通道
  • 使用具有欺骗性的诱饵文档
  • 部署之前未知的投递木马(Agent_Drable)

2. 攻击技术分析

2.1 初始感染向量

攻击者使用两种恶意Word文档作为初始感染载体:

  1. 空白文档(SHA1: 1f007ab17b62cca88a5681f02089ab33adc10eec)

    • 创建时间:2018-10-05
    • 最后保存时间:2018-10-15
    • 可能用于测试宏或在非特定环境中投递payload

  2. Suncor公司人力资源文档(SHA1: 9ea865e000e3e15cec15efc466801bb181ba40a1)

    • 创建时间:2012-06-07(可能是合法文档)
    • 最后保存时间:2018-10-15
    • 添加了恶意payload和VBA宏

2.2 VBA宏分析

宏分为两部分,分别在文档打开和关闭时执行:

文档打开时执行:

  1. 检查%userprofile%\.oracleServices\svshost_serv.exe是否存在
  2. 如果不存在,创建.oracleServices目录
  3. 从UserForm1.Label1.Caption读取base64编码的payload
  4. 解码并写入%userprofile%\.oracleServices\svshost_serv.doc
  5. 显示文档内容

文档关闭时执行:

  1. svshost_serv.doc重命名为svshost_serv.exe
  2. 创建名为"chrome updater"的计划任务,每分钟执行一次该exe文件

反沙箱技术:

  • 使用Application.MouseAvailable检查计算机是否有鼠标

2.3 Agent_Drable恶意软件分析

主要功能:

  1. 运行C&C下发的命令并返回输出
  2. 下载并执行指定文件
  3. 文件窃取功能

目录结构:

  • .\Apps - 存放要执行的可执行文件
  • .\Uploads - 上传文件
  • .\Downloads - 下载文件

硬编码信息:

  • C2域名:0ffice36o[.]com(模仿office360[.]com)
  • C2 IP:185.161.211[.]72
  • User-Agent:Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko

2.4 C&C通信机制

两种通信模式:

  1. DNS隧道(默认)

    • 使用特制子域名进行DNS查询
    • 子域格式:4个随机alphadecimal字符 + base32编码的有效负载
    • 示例:crzugfdhsmrqgq4hy000.0ffice36o[.]com

  2. HTTP(S)通信

    • URL格式:http://[CNC_IP]/[RESOURCE_PATH]?id=[ID]
    • 默认资源路径:/index.html
    • 使用自定义base64字母表编码命令

C&C命令隐藏在:

  • HTML注释<!--[DATA]-->
  • 特定标签如<link>, <form>, <style>, <script>

2.5 基础设施分析

主要IP地址:

  • 185.161.211[.]72 - 硬编码HTTP C&C
  • 185.20.187[.]8 - 用于生成Let's Encrypt证书
  • 185.20.184[.]138 - 存活的HTTP C&C(Django调试模式)
  • 185.20.184[.]157 - 未知用途
  • 185.161.211[.]79 - 钓鱼域名托管
  • 194.9.177[.]22 - Openconnect VPN服务器

相关域名:

  • hr-suncor[.]com
  • hr-wipro[.]com
  • files-sender[.]com
  • microsoftonedrive[.]org

证书劫持:
攻击者接管了多个政府域名的DNS条目并生成Let's Encrypt证书:

  • memail.mea.com[.]lb
  • webmail.finance.gov[.]lb
  • mail.apc.gov[.]ae
  • mail.mgov[.]ae
  • adpvpn.adpolice.gov[.]ae

3. 防御措施

3.1 预防措施

  1. 宏安全设置

    • 禁用Office文档中的宏执行
    • 教育用户不要启用不明文档的宏

  2. DNS监控

    • 监控异常DNS查询模式
    • 特别关注长随机子域名查询

  3. 证书验证

    • 实施证书固定(pinning)
    • 监控证书变更

  4. 网络流量分析

    • 检测异常HTTP通信模式
    • 监控与已知恶意IP的通信

3.2 检测指标

文件指标:

  • %userprofile%\.oracleServices\目录及其内容
  • 计划任务"chrome updater"

网络指标:

  • 0ffice36o[.]com等恶意域名的通信
  • 特定User-Agent字符串的使用

行为指标:

  • 每分钟执行的可疑进程
  • 创建.oracleServices目录的行为

3.3 应急响应

  1. 隔离受感染系统
  2. 检查计划任务
    • 查找并删除"chrome updater"任务
  3. 删除恶意文件
    • 清除.oracleServices目录
  4. 网络取证
    • 分析DNS和HTTP日志
    • 检查与C&C的通信记录
  5. 密码重置
    • 重置可能泄露的凭据

4. 总结

Cold River攻击组织展示了高级持续性威胁(APT)的典型特征,包括:

  • 精心设计的初始感染载体
  • 多阶段攻击链
  • 隐蔽的C&C通信
  • 基础设施冗余
  • 针对特定地区和组织

防御此类攻击需要多层安全措施,特别强调:

  • 用户教育(特别是关于宏安全)
  • 网络流量监控
  • 异常行为检测
  • 及时的威胁情报共享

通过分析攻击者的TTPs(战术、技术和程序),组织可以更好地准备防御类似的高级威胁。

Cold River攻击组织技术分析与防御指南 1. 攻击组织概述 Cold River是一个复杂的攻击组织,主要针对中东地区(尤其是黎巴嫩和阿拉伯联合酋长国)以及与这些国家关系密切的印度和加拿大公司。该组织具有以下特征: 使用DNS隧道作为C&C通信 利用证书欺骗技术 采用隐蔽的C2通道 使用具有欺骗性的诱饵文档 部署之前未知的投递木马(Agent_ Drable) 2. 攻击技术分析 2.1 初始感染向量 攻击者使用两种恶意Word文档作为初始感染载体: 空白文档 (SHA1: 1f007ab17b62cca88a5681f02089ab33adc10eec) 创建时间:2018-10-05 最后保存时间:2018-10-15 可能用于测试宏或在非特定环境中投递payload Suncor公司人力资源文档 (SHA1: 9ea865e000e3e15cec15efc466801bb181ba40a1) 创建时间:2012-06-07(可能是合法文档) 最后保存时间:2018-10-15 添加了恶意payload和VBA宏 2.2 VBA宏分析 宏分为两部分,分别在文档打开和关闭时执行: 文档打开时执行: 检查 %userprofile%\.oracleServices\svshost_serv.exe 是否存在 如果不存在,创建 .oracleServices 目录 从UserForm1.Label1.Caption读取base64编码的payload 解码并写入 %userprofile%\.oracleServices\svshost_serv.doc 显示文档内容 文档关闭时执行: 将 svshost_serv.doc 重命名为 svshost_serv.exe 创建名为"chrome updater"的计划任务,每分钟执行一次该exe文件 反沙箱技术: 使用 Application.MouseAvailable 检查计算机是否有鼠标 2.3 Agent_ Drable恶意软件分析 主要功能: 运行C&C下发的命令并返回输出 下载并执行指定文件 文件窃取功能 目录结构: .\Apps - 存放要执行的可执行文件 .\Uploads - 上传文件 .\Downloads - 下载文件 硬编码信息: C2域名: 0ffice36o[.]com (模仿office360[ . ]com) C2 IP: 185.161.211[.]72 User-Agent: Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko 2.4 C&C通信机制 两种通信模式: DNS隧道 (默认) 使用特制子域名进行DNS查询 子域格式:4个随机alphadecimal字符 + base32编码的有效负载 示例: crzugfdhsmrqgq4hy000.0ffice36o[.]com HTTP(S)通信 URL格式: http://[CNC_IP]/[RESOURCE_PATH]?id=[ID] 默认资源路径: /index.html 使用自定义base64字母表编码命令 C&C命令隐藏在: HTML注释 <!--[DATA]--> 特定标签如 <link> , <form> , <style> , <script> 2.5 基础设施分析 主要IP地址: 185.161.211[.]72 - 硬编码HTTP C&C 185.20.187[.]8 - 用于生成Let's Encrypt证书 185.20.184[.]138 - 存活的HTTP C&C(Django调试模式) 185.20.184[.]157 - 未知用途 185.161.211[.]79 - 钓鱼域名托管 194.9.177[.]22 - Openconnect VPN服务器 相关域名: hr-suncor[.]com hr-wipro[.]com files-sender[.]com microsoftonedrive[.]org 证书劫持: 攻击者接管了多个政府域名的DNS条目并生成Let's Encrypt证书: memail.mea.com[.]lb webmail.finance.gov[.]lb mail.apc.gov[.]ae mail.mgov[.]ae adpvpn.adpolice.gov[.]ae 3. 防御措施 3.1 预防措施 宏安全设置 : 禁用Office文档中的宏执行 教育用户不要启用不明文档的宏 DNS监控 : 监控异常DNS查询模式 特别关注长随机子域名查询 证书验证 : 实施证书固定(pinning) 监控证书变更 网络流量分析 : 检测异常HTTP通信模式 监控与已知恶意IP的通信 3.2 检测指标 文件指标: %userprofile%\.oracleServices\ 目录及其内容 计划任务"chrome updater" 网络指标: 与 0ffice36o[.]com 等恶意域名的通信 特定User-Agent字符串的使用 行为指标: 每分钟执行的可疑进程 创建 .oracleServices 目录的行为 3.3 应急响应 隔离受感染系统 检查计划任务 : 查找并删除"chrome updater"任务 删除恶意文件 : 清除 .oracleServices 目录 网络取证 : 分析DNS和HTTP日志 检查与C&C的通信记录 密码重置 : 重置可能泄露的凭据 4. 总结 Cold River攻击组织展示了高级持续性威胁(APT)的典型特征,包括: 精心设计的初始感染载体 多阶段攻击链 隐蔽的C&C通信 基础设施冗余 针对特定地区和组织 防御此类攻击需要多层安全措施,特别强调: 用户教育(特别是关于宏安全) 网络流量监控 异常行为检测 及时的威胁情报共享 通过分析攻击者的TTPs(战术、技术和程序),组织可以更好地准备防御类似的高级威胁。