、小劇場

小白：東哥我要向你表白！

大東：（一臉迷茫的看著小白）啊？

小白：你每次都給我講這么多知識，我真是太愛你了！

小白：我給你發的郵件你收到了嗎？

大東：是那個寫著 I LOVE YOU 的郵件嗎？

小白：是的啊！

大東：我都沒敢點開，我還以為是情書病毒呢。

小白：還有這種病毒？快給我講講。

二、話說事件 —— I LOVE YOU病毒

大東：2000年5月對信息安全產業來說是個重要的月份，因為史上最可怕的病毒之一——I Love You病毒（又名情書病毒）就在這個月出現。

小白：哇～

大東：在2000年時，這是一次可怕的事件，因為它使用了一種全新的方式，通過電子郵件進行傳播和感染。

小白：通過電子郵件？

大東：是的，這個病毒開啟了另大家深受其害的電子郵件病毒時代。

小白：那這種病毒在技術上來說算是蠕蟲嗎？

大東：不錯啊小白，有進步啊！

小白：我也是在私下里默默努力的～

大東：當時，這些病毒的作者想把受害者的計算機當作虛擬墻壁來涂鴉。

小白：“xxx”到此一游？

大東：差不多是這樣。

情書病毒的顯示頁面（圖片來自網絡）

大東：I LOVE YOU病毒來源于一封攜帶附件，標題為“我愛你（I LOVE YOU）”的電子郵件。

小白：這個名聽起來好有誘惑力啊！

大東：但不要被外表迷惑啦！

小白：點進這封郵件是不是就意味著電腦已經中了病毒？

大東：一旦打開“我愛你”郵件中的附件，將立即感染I LOVE YOU病毒。透過一封信件標題為 "I LOVE YOU"(我愛你) 的電子郵件散播，附件為 "LOVE-LETTER-FOR-YOU.txt.vbs" (獻給你的情書)，信件內容 "kindly check the attached LOVE LETTER coming from me"。

小白：那感染這個病毒電腦會有哪些癥狀呢？

大東：病毒發作時，會感染并覆寫附檔名為：*.mp3, *.vbs, *.jpg, *.jpeg, *.hta, *.vbe, *.js, *.jse....等十種文件格式；文件遭到覆寫后，附檔名會改為 *.vbs 。"而且，用戶電腦上的所有MP2、MP3文件都會被病毒破壞并加上后綴“.vbs”。

小白：那這個病毒的感染范圍會相當廣泛啊！

大東：接下來讓我給你詳細介紹介紹吧。

三、大話始末

大東：I LOVE YOU病毒攜帶一段用VBScript語言編寫的代碼。病毒一旦激活，它將找到 Outlook 軟件的地址欄，并給地址欄中的每一位聯系人自動重發 I LOVE YOU郵件，同時改寫或刪除所有JPEG、MP3、VPOS、JS、JSE、CSS、WSH、SCT和HTA類型的文件。

小白：那是不是只要是沒有做過備份的文件就會徹底丟失啊，而且病毒傳播的速度還非常快啊！

大東：是的！

小白：好可怕啊！

大東：由于大多公司內部都以郵件作為正式的溝通方式，因此I LOVE YOU病毒以極快的速度在公司內部迅速傳播。在2000年5月4號，I LOVE YOU病毒傳播得實在太快了，許多像福特公司一樣的知名大企業，不得不決定關閉電子郵件系統。這個病毒，一天之內就大約感染了4千5百萬的計算機用戶。

小白：感染速度夠快啊！

I LOVE YOU病毒席卷全球（圖片來自網絡）

小白：我記得在1999年3月，一個名叫梅莉莎的病毒也曾經通過Outlook軟件的地址欄自動發送郵件。

大東：知道的還真不少，是的，但是這兩個病毒還是有區別的。

小白：快給我講講。

大東：I LOVE YOU病毒與梅莉莎病毒的最大差異在于，梅莉莎病毒只會對通訊簿的前50個名單發出垃圾郵件，而I LOVE YOU病毒是向所有的通訊簿名單發出自動信件。

小白：也就意味著I LOVE YOU病毒的傳播速度比梅莉莎病毒快上數倍，破壞力也更為強大唄。

大東：不僅如此，I LOVE YOU病毒能夠通過某些途徑破壞因特網瀏覽器，引起更大的麻煩，還會通過因特網延遲交談系統實現網絡傳播。

小白：這種做法聽起來跟今天的病毒有很大不同。

大東：沒錯，現在的病毒多半是木馬，信息安全威脅主要在于竊取信息。

小白：比如呢？

大東：不法分子想要你的賬號（例如淘寶賬號），這些信息可以用來賺錢（例如通過好評給自己刷評價）；他們想要QQ賬號，好讓他們給你的朋友發送惡意鏈接，并竊取朋友的信息；他們還想要網游賬號，以便能夠盜取極品的裝備；他們想要網銀賬號，以便讓他們能夠……

小白：哦，我想我已經知道他們想干什么了。

大東：還有一件更重要的事情要記住：越是有針對性的目標攻擊，竊取到的信息就越有價值。

小白：也就是說，假如我有一個信譽為零的淘寶賬號，對壞人來說這就不是有價值目標；但如果我是一個知名的網絡賣家，那就完全不同了。

大東：沒錯，所以如果這些人可以拿到知名賣家、QQ高級用戶、企業用戶或是大公司的高層們的信息，他們就可以為這些目標制定更有效的攻擊方式。明白我想說什么了嗎？

小白：明白了。

四、小白內心說

大東：所以說，金錢動機+高超的社會工程學手法+資料外泄=看不見的災難。

網絡安全（圖片來自網絡）

小白：就像桃樂絲在綠野仙蹤內說的：我們不是在堪薩斯了。其實就算你還在堪薩斯，也還是要小心。

大東：還挺有文學素養！

小白：無論待在哪個國家、哪個地方、使用哪種操作系統，都可能被不法分子當成目標。他們一視同仁，所有的網絡用戶對他們來說都是潛在的受害者。目前的持續威脅都會盡可能保持低調地潛伏在用戶系統內，盡量收集有關用戶的信息，任何個人信息的片段他們都有興趣。畢竟，這些都可以通過種種方式換成錢。

大東：現在，不法分子們已經找到了“向錢看”這個目標，恐怕不會很快就離開。他們只會嘗試著各種新技術和新方法，繼續“向錢看”。

參考資料：

1. 最可怕的病毒之一：I Love You病毒（又名情書病毒）

http://blog.sina.com.cn/s/blog_7b8883cb0100v4mg.html

2. ILOVEYOU virus：ILOVEYOU病毒

https://searchsecurity.techtarget.com.cn/whatis/11-25183/

來源：中國科學院計算技術研究所

、序言

病毒、木馬是黑客實施網絡攻擊的常用兵器，有些木馬、病毒可以通過免殺技術的加持躲過主流殺毒軟件的查殺，從而實現在受害者機器上長期駐留并傳播。

二、CobaltStrike基礎

Cobalt Strike簡稱CS，它是一款非常好用的滲透測試工具，它允許攻擊者在受害機器上部署名為“Beacon”的代理，Beacon 為攻擊者提供了豐富的功能。它可以快速地生成后門并通過其控制目標主機。

CS擁有多種協議主機上線方式，集成了提權，憑據導出，端口轉發，服務掃描，自動化溢出，多模式端口監聽，木馬生成，木馬捆綁，socket代理，office攻擊，文件捆綁，釣魚等多種功能。但它也通常被利用于惡意木馬后門、被利用于遠程控制。

它支持通過 shellcode方式，創建自定義的C2二進制可執行文件，還支持通過修改代碼來隱藏惡意程序。

基于CobaltStrike生成惡意 payload， 共分為5種：

1、HTML Application 生成 hta 形式的惡意 payload

2、 MS Office Macro 生成宏文檔的 payload

3、 Payload Generator 生成各種語言的 payload

4、Windows Executable 生成可執行的分段 payload

5、 Windows Executable(S) 生成可執行的不分段 payload

Windows平臺的 payload 有分段和不分段兩種模式：

1、選擇分段: 它生成的原始文件會很小，原始文件就是一個download，用于從C2下載并加載后續的 payload;

2、不分段模式: 它生成的原始文件跟普通軟件大小差不多，原始文件是一個loader加載器，可以直接將 shellcode 加載執行。

三、樣本基礎分析

下圖是本次分析樣本的基本屬性，這個樣本的圖標通過偽裝成中國移動的圖標，通過上文的理論基礎，我們可以直接猜測出它是采用不分段的摸索，這個樣本就是一個loader，它直接執行shellcode的功能。

下面通過PE的查殼工具Detect IT Easy對樣本進行基本構成屬性的分析，它首先是PE64的程序，并且是通過PyInstaller工具進行打包的(也就是說這個程序是通過python語言開發的)，并且沒有做任何保護的功能。

下圖通過CFF工具可以分析出，該樣本的依賴模塊都是系統模塊，沒有依賴自定義或者第三方的模塊。

四、行為數據分析

通過進程監控工具進行對樣本啟動過程進行文件監控(在虛擬機環境上測試)

下圖可以清晰的看到該樣本在啟動的時候會創建很多文件(也就是依賴釋放文件)：

1、這里面有個python38.dll模塊，表示該樣本采用python3.8版本進行編譯的。

2、還有釋放了好幾個的pyd的文件(pyd文件時由python編譯生成的 Python 擴展模塊，為啥要打包成pyd文件呢？因為pyd文件可以更好的防止反編譯，只能反匯編。要分析pyd文件就得借助ida靜態反匯編工具進行分析。)。

3、還有個base_library.zip文件(這個就是python工具打包成exe后，運行所需要的依賴模塊)。

下圖是od中進行釋放文件的功能實現部分。

通過CreateFileMapping方式操作文件。

通過網絡抓包工具Fiddler對樣本的網絡行為分析

通過下圖的監控工具截圖中可以看到，該樣本在啟動后通過http方式的網絡通信行為，所指向的服務器：124.70.22.50:8090

下圖通過威脅情報的數據中心分析，該ip是華為云的，并且這個ip所指向的都已被標識為病毒相關信息。

五、代碼功能分析

從前面的分析這個樣本是python基于python3.8開發的，通過python打包的應用可以通過解包還原出python的源代碼，下面就對樣本進行解包，分析解包后的源代碼

1、通過基于pyinstxtractor.py進行解包，只要用pytho pyinstxtractor.py cs(樣本名稱)

執行命令后，在目錄中會出現解包后文件夾，這個文件夾就是解包后的數據

通過下圖可以看出這個樣了里面主要由pyc文件、pyd文件、dll文件、zip文件構成的，其中高危端口檢測.pyc就是樣本的主程序。pyc文件無法直接查看需要將pyc文件轉換為py文件。

2、通過使用 uncompyle6 可以將.pyc文件反編譯成.py文件

執行完上面命令后，下圖就是反編譯轉換后的py文件了，這時候就可以查看py的源代碼。

下圖是反編譯轉換后高危端口掃描.py的源代碼，這代碼里面主要的功能實通過base64去加解密，通過開啟一個線程去執行自定義的shellcode代碼(shellcode代碼可以用于對抗病毒查殺軟件的查殺，也就是免殺功能)

通過采用urllib方式的http通信（它是一個內置在Python標準庫中的模塊），使用http.client來實現HTTP和協議的客戶端。基于Request方式進行http通信。

六、防護思考

目前Cobalt Strike所有的后門都比較活躍，在紅藍對抗中占據很重要的地位，建議提前部署具備高級威脅檢測能力的安全產品進行及時監控、防范。

個人降低和防范中木馬病毒建議方式：

1、主機環境安裝主流的病毒查殺軟件并及時更新病毒庫;

2、規范上網行為，不下載安裝未知的軟件;

3、不點開來歷不明的文檔、圖片、音頻視頻等;

4、及時安裝系統補丁，修復漏洞;

5、加強密碼復雜度，定期更改密碼;

6、進行嚴格的隔離，有關系統、服務盡量不開放到互聯網上，內網中的系統也要通過防火墻、VLAN或網匣等進行隔離。

來源：小道安全