近来，深服气安全团队捕获到一同高度个性化的垂钓进犯事情，进犯者针对用户企业假造了多份带有专业内容的进犯文档，经过邮件发送到方针邮箱，妄图诱导用户翻开附件中的文档。 经安全专家剖析，该文档其实为带有缝隙运用的歹意文件，其运用了一个较老的Office缝隙CVE-2012-0158，该缝隙常被用于APT进犯，一般以RTF文件或MIME文件为载体，影响的很多Office版别。 文档剖析 翻开该文档，内容上没有任何缝隙，带有用户企业的页眉图标，内容也非常专业： 不过，外表的假装蒙混不过研究人员的眼睛，经过监控行为发现winword.exe运转后创立了一个PE文件rundll32.exe： 进程: c:program file *** icrosoft officeoffice12winword.exe 方针: C:UsersrootAppDataLocalTemprundll32.exe 因为并没有敞开宏功用，所以判别出该文档存在缝隙运用，接下来运用windbg附加到winword.exe上进行调试，在kernel32!WinExec处下断点，断下来后检查仓库，发现一条cmd指令，作用为翻开一个temp目录下的doc文档： 尽管找到了可疑指令，但这个行为还不是要找的要害行为，所以单步调试，运转一会后看到一条kernerl32!_lcreat函数的履行，检查仓库发现，创立的文件是在行为监控中看到的rundll32.exe文件： 这儿的剖析过程中其实有一个插曲，当从行为中看到文件创立的动作，在调试时首要想到的就是在CreateFile函数下断点，但并没有中止下来，所以退而求其次在WinExec函数下了断点，当单步到这儿时找到了原因，shellcode中运用了一个冷门的函数lcreat，而且经过参数知道其创立的文件为躲藏文件： iAttribute Long 0——文件可以读写 1——创立只读文件 2——创立躲藏文件 3——创立体系文件 持续单步可以看到lwrite写文件操作： 最终再次单步运转到WinExec函数，此处为运转开释的rundll.exe文件，在相同的目录下可看到开释的文件包含一个洁净的doc文档，和该歹意EXE程序： 歹意程序剖析 rundll32.exe文件在行为上具有很多的反安全软件、反剖析操作，详细如下。 1、遍历根目录查找avast! sandbox途径： 2、查找cuckoo途径： 3、查找剖析软件进程，包含： Filemon.exe、Regmon.exe、Procmon.exe、Tcpview.exe、wireshark.exe、 dumpcap.exe、reghost.exe、cports.exe、 *** sniff.exe、SocketSniff.exe 4、查找杀毒软件进程，包含： mcagent.exe、ekrn.exe、ccSvcHst.exe、avgui.exe、nis.exe、avfwsvc.exe、coreFrameworkHost.exe、AYRTSrv.aye、360Tray.exe、avgtray.exe、nanoav.exe、avp.exe、msseces.exe、AvastUI.exe、avgnt.exe 5、在wksprt.exe;ctfmon.exe;explorer.exe中挑选一个进程以挂起的 *** 创立，进行长途进程注入： 6、注入后会在进程内存中开释一个DLL文件并调用，程序的主要功用都在DLL文件中，包含自复制到temp目录并在注册表增加自启动： 7、获取主机信息发送到C&C服务器（域名已失效，本文运用修正hosts文件的 *** 抓取到传输的数据）： 关于垂钓进犯Q&A Q：什么是垂钓进犯？ A：在 *** 进犯中，垂钓进犯一般为假充合法组织或人员向方针发送假造的邮件，诱导方针点击或运转其间的歹意软件，以到达信息盗取、不合法取得用户主机权限等意图。常见的 *** 有发送缝隙运用文档、发送带有歹意宏代码的文档、或发送假装成文档的歹意可履行文件。 Q：那要怎么判别收到的文档是否为歹意呢？ A：起先的一些垂钓文档结构得较为粗糙，文档内容基本上是一些乱码，简单引起用户的置疑。为了取得方针的信赖，进犯者开端经过社会工程等 *** 收集到与方针相关的一些信息，定制高度个性化的进犯邮件。比方本次的进犯中，运用的文档内容就完全是用户的文档，很难从内容上判别是否为歹意，因而主张敞开安全软件的实时防护功用，一但下载的附件被报出要挟，就不要容易翻开，先请专业的安全人员进行剖析。 Q：假如现已不小心点开了垂钓邮件中的附件，要怎么办呢？ A：假如不小心运转了其间的附件，也不要慌张，首要要保存原始的邮件，反馈给安全研究人员进行剖析，然后运用安全软件进行全盘查杀，阻隔删去下载或开释到主机上的歹意程序。 解决方案 深服气安全团队提示我们：不要点击来源不明的邮件附件，不从不明网站下载软件。