一次对钓鱼邮件攻击者的溯源分析

访客4年前黑客工具715

  疫情相关钓鱼邮件增长近6倍

  近几个月以来,随着新型冠状病毒肺炎“COVID-19”在全球范围内快速蔓延,许多国家和地区的卫生系统不堪重负。与此同时,攻击者却趁火打劫,利用钓鱼邮件对 *** 、医疗等重要部门进行攻击。

  通过近期监测的数据,睿眼·邮件发现使用疫情作为钓鱼邮件内容的邮件大幅增长,其中“冒充WHO组织”、“诈骗捐款”、“疫情物资欺骗”、“疫情进度(信息)欺骗”等最为常见。随机截取多个睿眼·邮件的部分流量数据进行分析,发现疫情相关钓鱼邮件占总钓鱼邮件的比例为1月0%、2月0.0634%、3月0.4013%。相比二月,三月份疫情相关钓鱼邮件增长近6倍。同时,攻击者也爱追“热点”,针对疫情的最新动向不断更新钓鱼话术,利用受害者恐惧、好奇等心理,增加钓鱼攻击的成功几率。

  在2月初国内疫情较为严重的阶段,攻击者使用“中国冠状病毒病例:查明您所在地区有多少”等中国疫情相关主题及内容进行邮件钓鱼投放木马。而到3月中旬意大利疫情迅速恶化阶段,攻击者转为使用“COVID-19批准的针对中国、意大利的补救措施”等国际热点内容进行邮件钓鱼投放木马。

  

  2月:利用中国疫情相关内容发起攻击

  

  3月:利用国际热点内容发起攻击

  在进行抽样分析的过程中,中睿天下安全专家团队发现多起“SWEED”黑客组织发起的疫情相关钓鱼邮件,恶意附件类型多种多样,大多旨在分发Agent Tesla(一种信息窃取工具,出现于2014年甚至更早),利用CVE-2017-11882漏洞发起攻击,并通过 *** tp协议回传数据到mailhostbox下注册的邮箱。种种迹象与“SWEED”黑客组织的相关情报完全吻合。

  SWEED至少在2017年就已经开始运作,主要使用信息窃取工具和远程访问木马(RAT)来攻击目标。

  钓鱼邮件溯源分析

  我们以其中抽取的两封“SWEED”黑客组织发起的钓鱼邮件为例,来进行详细的溯源分析。

  1. 邮件1:中国冠状病毒病例:查明您所在地区有多少

  

  钓鱼邮件正文

  

  钓鱼邮件附件

  包含附件:list.xlsx

  附件MD5:5fc077636a950cd5f89468e854c0e714

  对附件进行联动分析,发现其在多个威胁情报中爆出使用CVE-2017-11882漏洞攻击,在2020-03-14 16:33:30首次攻击被睿眼监测的服务器。

  

  联动分析

  附件样本分析:

  样本list.xlsx(MD5:5FC077636A950CD5F89468E854C0E714)利用CVE-2017-11882公式编辑器漏洞,从下载文件到%AppData%\Roaming\vbc.exe执行。

  

  下载木马程序

  vbc.exe内存加载一段ShellCode执行。

  

  加载一段ShellCode执行

  ShellCode中使用ZwSetInformationThread 函数修改_Ethread结构中的HideFromDebuggers进行反调试,之后动态获取一些进程注入使用的API地址。

  

  使用ZwSetInformationThread进行反调试

  

  动态获取进程注入使用的API地址

  之后创建RegA *** .exe进程,将本段ShellCode注入新创建的RegA *** .exe进程。

  

  创建RegA *** .exe进程并注入ShellCode

  修改线程Context后恢复执行。

  

  修改线程Context

  ShellCode注入RegA *** .exe进程后从下载“nass.exe”,其功能与vbc.exe相同。

  

  下载“nass.exe”

  再次从下载一个加密的文件。

  

  下载“MR_encrypted_D34A1CF.bin”

  解密之后加载执行。

  

  加载执行MR_encrypted_D34A1CF.bin

  解密后的EXE为C#编写经过混淆的Agenttesla木马,会收集计算机名、用户名、系统版本以及内存大小等信息,主要为窃取浏览器访问记录及保存的帐号和密码,同时还具有监控键盘按键和剪切板的功能,支持屏幕截图。

  

  收集用户名、计算机名

  

  收集系统版本和内存大小

  

  窃取浏览器访问记录及保存的帐号、密码

  

  监控键盘按键、剪切板,并支持屏幕截图等

  收集的信息支持HTTP、FTP以及 *** TP三种方式回传。本样本配置通过 *** TP回传。

  

  配置通过 *** TP回传

  恶意程序中存储的登录方式经过解密可获取攻击者使用的邮箱账号密码。

  2. 邮件2:Coronavirus - H&Q AUTO Update

  

  钓鱼邮件正文

  包含附件:H&Q AUTO customer letter COVID-19 update.doc

  附件MD5 : 1c87c6c304e5fd86126c76ae5d86223b

  3. 附件样本分析:

  对doc文件进行分析,程序调用Office公式编辑器,利用CVE-2017-11882漏洞进行攻击。

  

  调用命令行

  恶意文件运行调试后会访问域名“sterilizationvalidation.com”下载PE文件“elb.exe”,其功能与Agent tesla木马相同。通过路径看,是利用一个存在漏洞的WordPress网站作为C&C节点。

  

  下载请求

  通过 *** TP流量将从主机中获得的数据发送出去:

  

  wireshark截图( *** TP流量)

  从流量上看,攻击者通过mailhostbox邮箱服务商,登陆设定好的邮箱给自己发送了一封邮件,邮件内容是受害主机内的相关应用账号密码。

  

   *** TP协议数据包

  发送受害者信息的同时,攻击者也在数据包中暴露了收件邮箱的账号密码。对数据解密后,安全专家成功登陆攻击者的收件邮箱。

  

  攻击者邮箱的收件箱

  这是SWEED黑客组织其中一个收取回传信息的邮箱。自2020年1月19日收到之一封邮件起,此邮箱已收到121封邮件。可推断疫情刚开始爆发,攻击者便开始了相应的邮件钓鱼动作,并一直持续进行钓鱼攻击。

  4. 目标受害者影响分析

  无论是钓鱼邮件“中国冠状病毒病例:查明您所在地区有多少”还是“Coronavirus - H&Q AUTO Update”,其中的恶意程序都只是个木马下载器,最终执行的木马都是Agent tesla木马。

  从本次截取的样本数据中,安全专家获得多个“SWEED”黑客组织收取盗窃密码的邮箱,收件箱 *** 发现342封邮件,对应342个受害者,经去重后被窃取的相关账号密码多达1307个,主要以Chrome和Firefox中存储的密码为主。

  

  数据回传邮件中的账号分布占比

  

  受害者主机回传的邮件

  尽管木马上传程序中并没有设定记录受害者IP,安全专家通过提取EML的Received头中发件客户端IP作为受害者IP,统计发现受害者遍布57个国家。安全专家进一步根据登录URL、受害者IP、账户三个属性筛选出20多个中国受害者,得到30多个国内账号,并经校验发现目前部分账号依然可在线登录。

  相关安全建议

  1. 针对已购买“睿眼·邮件攻击溯源系统”的单位:

  (1) 实时检测疫情相关钓鱼邮件

  在睿眼·邮件的“威胁检测”->“专家模式”下选择威胁邮件,搜索主题或邮件正文中带有疫情相关关键字的邮件,并另存为场景,实现对疫情特殊时期这一场景下的威胁邮件实时监测。

  疫情相关关键字可参考:疫|疫情|冠状病毒|病毒|武汉|流感|卫生|中华人民共和国国家健康委员会|卫生应急办公室|旅行信息收集申请表|卫生部指令|封城|Epidemic|situation|coronavirus|wuhan|influenza|health|COVID-19|Face mask|thermometer|World Health Organzaction

  

  通过关键词设置实现抗疫期间特定场景的威胁邮件实时监测

  (2) 自定义分组疫情相关钓鱼邮件

  在睿眼·邮件的“业务管理” -> “自定义规则” -> “添加”设定主题为疫情相关词条时,添加到“疫情钓鱼”分组,实现自定义分组。后续可在界面选择自定义分组,对疫情相关钓鱼邮件进行专门检查。

  

  自定义设置规则实现对特定威胁邮件的自动分组

  (3) MDR服务:邮件攻击溯源服务

  针对政企单位自身或部署睿眼·邮件发现的威胁邮件,中睿天下安全专家针对其需求进行深入溯源分析,包括邮件来源、邮件影响范围、邮件攻击目的、攻击者身份背景等溯源分析,最终以报告形式交付,适用于高级邮件攻击事件的溯源分析。

  2. 针对普通邮箱用户:

  谨防关于“疫情”、“新型冠状病毒”、“COVID-19”等相关热点词汇的电子邮件,不要随意下载或打开来历不明的相关邮件及附件。

  由于附件中除使用office漏洞和PE文件以外,office宏攻击最为常见。建议在office选项->信任中心->信任中心设置->宏设置->禁言所有宏进行设置,关闭office宏功能,防止被宏病毒感染。

  正文中如果存在网站链接或可点击图片,可点击右键检查其链接URL与描述是否一致。当URL中带有当前邮箱名或使用短链接,如非业务需要,很可能就是钓鱼网站。

  3. 疫情相关高频邮件名(部分)

  诈骗类型钓鱼邮件:

  中国冠状病毒病例:查明您所在地区有多少

  Supplier-Face Mask/ Forehead Thermometer

  The Latest Info On Pharmaceutical Treatments And Vaccines.

  We Have A Lot Of Face Mask!!!

  Your health is threatened!

  COVID-19批准的针对中国,意大利的补救措施

  WHO组织伪造:

  COVID-19 UPDATE

  COVID-19更新

  RE: Final Control Method | World Health Organization| Important

  COVID-19 Solution Announced by WHO At Last As a total control method is discovered

  RE: Coronavirus disease (COVID-19) outbreak prevention and cure update.

  World Health Organization/ Let’s fight Corona Virus together

  World Health Organization - Letter - COVID-19 - Preventive Measures

  疫情相关恶意邮件附件名:

  COVID-19 UPDATE_PDF.EXE

  CV + PICTURES 2938498-02-27-2020.arj

  list.xlsx

  message.txt .scr

  uiso9_cn.exe

  Coronavirus Disease (COVID-19) CURE.exe

  Breaking___ COVID-19 Solution Announced.img

  game_zy0520.pif

  CORONA_TREATMENT.pdf.exe

  covid-19.img

  COVID-19 WHO RECOMENDED V.exe

  H&Q AUTO customer letter COVID-19.doc

  WHO-COVID-19 Letter.doc

  4. 相关IOCS:

  

  

  

  疫情期间,Radware为土耳其银行Garanti BBVA提供可用性和安全保障

  数千个以COVID-19为诱饵的黑客站点威胁全球

  黑客是如何对俄罗斯外贸银行实施APT攻击的?

  东巽科技:近年APT攻击呈组织化和精准化

  APT攻击频发—安恒信息再次检测到APT攻击样本

相关文章

武汉疑似病人存量加速消化怎么回事 新冠肺炎疫情最新消息

作为全国疫情中心城市的武汉,新增疑似病例由2月5日高峰日的2071例波动下降至2月10日的961例。说明随着武汉市强力推进确诊患者集中救治,疑似患者集中隔离,无法排除的发热患者和确诊患者的密切接触者集...

怎么祛眼袋的简单方法?简单有效的方法,赶紧

怎么祛眼袋的简单方法?简单有效的方法,赶紧

如果说,眼睛是心灵的窗口;那么,眼袋就是岁月画下的轻愁。 当眼袋模糊了你那神采双眸,衰老侵袭而来! 你知道吗? 眼袋是让人最显老的标志。 一旦出现眼袋,看起来至少要老10岁! 再美的眼睛...

黑客技术(黑客技术自学教程 小学生)

黑客技术(黑客技术自学教程 小学生)

怎么学习黑客技术 1、参与CTF比赛 CTF比赛是黑客学习和提高技能的重要途径,初学者可以参加一些入门级别的CTF比赛,挑战自己的技能,并从比赛中学习经验和技巧。2、必须保持学徒的心:一个真正的大师永...

北京的风味小吃?最全的北京地方风味小吃

集皇宫民间、南方北方、满、蒙、汉、回四海特色之大成的北京小吃 北京地方风味小吃历史悠久,品种繁多,用料讲究,制作精细,已是有口皆碑。这主要是因为北京曾为金、元、明、清的都城,又是各族人民聚集杂居之处...

娘惹是什么意思(新加坡娘惹啥意思)

娘惹是什么意思(新加坡娘惹啥意思)

娘惹是什么意思(新加坡娘惹啥意思)来到新加坡,“娘惹”一词的隆重登场率大大提升。那么娘惹到底是什么? 所谓娘惹,就是对土生华人女性的一种称呼。她们就是最早定居槟城、马六甲、印尼和新加坡的华人后裔,以...

找黑客盗取别人聊天记录-黑客有什么用对国家有什么用(黑客有什么用对国家有什么用?)

找黑客盗取别人聊天记录-黑客有什么用对国家有什么用(黑客有什么用对国家有什么用?)

找黑客盗取别人聊天记录相关问题 黑客用什么电脑品牌相关问题 黑客拿到我的手机有什么隐患 米的也被黑客攻击了嘛(黑客攻击代码)...