在过去的几个月里,我们看到了矛网络钓鱼袭击的突然增加。矛网络钓鱼是一个网络钓鱼骗局的变体,其中黑客发送到一个似乎来自可信源的个人电子邮件。在这种类型的攻击中,攻击者使用社交工程技巧和一些业务交易或交易以诱使最终用户相信电子邮件消息是真实的,并且来自已知人或联系人。与任何其他网络欺诈一样,这些电子邮件的议程是访问用户的系统或获取其他分类信息。矛网络钓鱼被认为是最成功的网络攻击技术之一,因为攻击用户的卓越性个性化程度,这使它变得非常可信。
技术细节:
此感染链的入口点是一种良性的电子邮件,具有XLS文件作为附件。附件名称看起来像与私营运营有关的一些重要通知/更新,政府来源。由于这一点,受害者将尝试打开这种类型的附件。当收件人打开XLS附件时,它会提示用户在Excel中启用宏。
图1. XLS文件(启用宏提示)
用户单击“启用宏”按钮时,将打开XLS文件以查看。我们进一步分析的附件之一,具有两个用户形式,具有不同的名称和模块,其中包含宏存在的源代码。第一个形式“wshafi box”包含小数形式的数据。
图2.在宏中的“WSHAFI Box”表格
进一步分析此表单后,我们发现用空间替换撇号(')给我们一些数据以十进制格式。我们将十进制数据转换为ASCII以获取ZIP文件。此zip文件包含实际恶意软件有效载荷。以下是原始表单数据的屏幕拍摄,数据在ZIP文件中以十进制形式和数据。
3.到达zip文件的步骤。
执行从module1使用sub userhafizailoadr()函数开始。在“WSHAFI框”用户表单中,它创建一个名为ByteArray的一个变量,并将数据从“wshafi box”用户表单复制到此变量中,该变量进一步用于在“C:\ Users \ Document”文件夹中创建zip文件。
图4. UserHafizailoadr()函数
用于提取该ZIP文件的内容,使用子UpFizaizip()函数。最后,有效载荷(“dtiardhues.exe”)使用shell命令执行。
5.具有有效载荷的可执行文件在预定义位置丢弃
正如我们所观察到的,此可执行文件的内容对于不同的Windows NT版本不同(如6.1用于Windows 7,6.2是Windows 8和6.3是Windows 8.1)。 payload dtiardhues.exe是远程访问特洛伊木马。它会自动执行,没有用户的干预,并连接到远程CNC服务器。一旦受害者主机连接到CNC服务器,它会等待它的进一步命令。我们注意到,此CNC服务器支持数据收集和前过滤的广播命令列表。
图6.从CNC服务器收到的命令
最初,该CNC服务器从受害者主机(如主机名,用户名,OS版本,IP,AV软件名称)收集来自受害者的信息(如果有的话)。等等,它还收集有关受害者主机的当前运行进程的信息,然后将受害者主机命令出去ex-Filtrate所有收集的数据。
我们通过不同的受害者主机分析了CNC服务器的通信,可以识别使用以下命令及其功能。
| 命令 | 描述 | 命令 | 描述 |
| 信息 | 它发送机器信息(主机名,用户,AV)。 | dir | 发送系统中的驱动器列表 |
| 克平 | 设置时间 | 传感器 | 拍摄并发送屏幕截图 |
| FLDR. | 发送文件夹列表 | 弗雷斯 | 在磁盘上搜索文件。 |
| Filsz. | 文件大小 | 德 | 删除文件 |
| Procl. | 清单 | runf. | 运行可执行文件 |
| listf. | 搜索文件 | 一份文件 | exfiltrate文件到服务器 |
| CNLS. | 取消功能 | endpo. | 结束过程 |
图7.数控通信流量
IOC的 -
结论:
虽然识别矛网络钓鱼电子邮件对于最终用户来说很难困难,但在打开任何电子邮件附件时始终可以小心。在打开任何电子邮件附件之前,用户应考虑以下几点:
- 验证发件人的电子邮件ID
- 不要通过电子邮件主题或身体中提到的免费赠品感染
- 请勿单击邮件正文中的任何链接。
- 以只读模式打开Office文档文件;默认情况下不要启用宏。
快速愈合和SEQRITE.企业安全解决方案保护其用户免受此类恶意电子邮件附件,并且还可以帮助识别远程命令和控制服务器通信。因此,请记住保留端点安全解决方案始终更新。
主题专家:
Prashant Tilekar.,Anjali Raut |快速治疗安全实验室
暂无评论