写点什么

一次对钓鱼邮件攻击者的溯源分析

  • 2020-04-16
  • 本文字数:3655 字

    阅读完需:约 12 分钟

一次对钓鱼邮件攻击者的溯源分析

疫情相关钓鱼邮件增长近 6 倍

近几个月以来,随着新型冠状病毒肺炎“COVID-19”在全球范围内快速蔓延,许多国家和地区的卫生系统不堪重负。与此同时,攻击者却趁火打劫,利用钓鱼邮件对政府、医疗等重要部门进行攻击。


通过近期监测的数据,睿眼·邮件发现使用疫情作为钓鱼邮件内容的邮件大幅增长,其中“冒充 WHO 组织”、“诈骗捐款”、“疫情物资欺骗”、“疫情进度(信息)欺骗”等最为常见。随机截取多个睿眼·邮件的部分流量数据进行分析,发现疫情相关钓鱼邮件占总钓鱼邮件的比例为 1 月 0%、2 月 0.0634%、3 月 0.4013%。相比二月,三月份疫情相关钓鱼邮件增长近 6 倍。同时,攻击者也爱追“热点”,针对疫情的最新动向不断更新钓鱼话术,利用受害者恐惧、好奇等心理,增加钓鱼攻击的成功几率。


在 2 月初,国内疫情较为严重的阶段,攻击者使用“中国冠状病毒病例:查明您所在地区有多少”等中国疫情相关主题及内容进行邮件钓鱼投放木马。而到 3 月中旬意大利疫情迅速恶化阶段,攻击者转为使用“COVID-19 批准的针对中国、意大利的补救措施”等国际热点内容进行邮件钓鱼投放木马。



2 月:利用中国疫情相关内容发起攻击



3 月:利用国际热点内容发起攻击


在进行抽样分析的过程中,中睿天下安全专家团队发现多起“SWEED”黑客组织发起的疫情相关钓鱼邮件,恶意附件类型多种多样,大多旨在分发 Agent Tesla(一种信息窃取工具,出现于 2014 年甚至更早),利用 CVE-2017-11882 漏洞发起攻击,并通过 smtp 协议回传数据到 mailhostbox 下注册的邮箱。种种迹象与“SWEED”黑客组织的相关情报完全吻合。


SWEED 至少在 2017 年就已经开始运作,主要使用信息窃取工具和远程访问木马(RAT)来攻击目标。

钓鱼邮件溯源分析

我们以其中抽取的两封“SWEED”黑客组织发起的钓鱼邮件为例,来进行详细的溯源分析。

邮件 1:中国冠状病毒病例:查明您所在地区有多少


钓鱼邮件正文



钓鱼邮件附件


包含附件:list.xlsx


附件 MD5:5fc077636a950cd5f89468e854c0e714


对附件进行联动分析,发现其在多个威胁情报中爆出使用 CVE-2017-11882 漏洞攻击,在 2020-03-14 16:33:30 首次攻击被睿眼监测的服务器。



联动分析

附件样本分析

样本 list.xlsx(MD5:5FC077636A950CD5F89468E854C0E714)利用 CVE-2017-11882 公式编辑器漏洞,从http://216.170.123.111/file.exe下载文件到 %AppData%\Roaming\vbc.exe 执行。



下载木马程序


vbc.exe 内存加载一段 ShellCode 执行。



加载一段 ShellCode 执行


ShellCode 中使用ZwSetInformationThread 函数修改_Ethread结构中的HideFromDebuggers进行反调试,之后动态获取一些进程注入使用的 API 地址。



使用 ZwSetInformationThread 进行反调试



动态获取进程注入使用的 API 地址


之后创建 RegAsm.exe 进程,将本段 ShellCode 注入新创建的 RegAsm.exe 进程。



创建 RegAsm.exe 进程并注入 ShellCode


修改线程 Context 后恢复执行。



修改线程 Context


ShellCode 注入 RegAsm.exe 进程后从http://216.170.123.111/nass.exe下载“nass.exe”,其功能与 vbc.exe 相同。



下载“nass.exe”


再次从http://216.170.123.111/MR_encrypted_D34A1CF.bin下载一个加密的文件。



下载“MR_encrypted_D34A1CF.bin”


解密之后加载执行。



加载执行 MR_encrypted_D34A1CF.bin


解密后的 EXE 为 C#编写经过混淆的 Agenttesla 木马,会收集计算机名、用户名、系统版本以及内存大小等信息,主要为窃取浏览器访问记录及保存的帐号和密码,同时还具有监控键盘按键和剪切板的功能,支持屏幕截图。



收集用户名、计算机名



收集系统版本和内存大小



窃取浏览器访问记录及保存的帐号、密码



监控键盘按键、剪切板,并支持屏幕截图等


收集的信息支持 HTTP、FTP 以及 SMTP 三种方式回传。本样本配置通过 SMTP 回传。



配置通过 SMTP 回传


恶意程序中存储的登录方式经过解密可获取攻击者使用的邮箱账号密码。

邮件 2:Coronavirus - H&Q AUTO Update


钓鱼邮件正文


包含附件:H&Q AUTO customer letter COVID-19 update.doc


附件 MD5 : 1c87c6c304e5fd86126c76ae5d86223b

附件样本分析

对 doc 文件进行分析,程序调用 Office 公式编辑器,利用 CVE-2017-11882 漏洞进行攻击。



调用命令行


恶意文件运行调试后会访问域名“sterilizationvalidation.com”下载 PE 文件“elb.exe”,其功能与 Agent tesla 木马相同。通过路径看,是利用一个存在漏洞的 WordPress 网站作为 C&C 节点。



通过 SMTP 流量将从主机中获得的数据发送出去:



wireshark 截图(SMTP 流量)


从流量上看,攻击者通过 mailhostbox 邮箱服务商,登陆设定好的邮箱给自己发送了一封邮件,邮件内容是受害主机内的相关应用账号密码。



SMTP 协议数据包


发送受害者信息的同时,攻击者也在数据包中暴露了收件邮箱的账号密码。对数据解密后,安全专家成功登陆攻击者的收件邮箱。



攻击者邮箱的收件箱


这是 SWEED 黑客组织其中一个收取回传信息的邮箱。自 2020 年 1 月 19 日收到第一封邮件起,此邮箱已收到 121 封邮件。可推断疫情刚开始爆发,攻击者便开始了相应的邮件钓鱼动作,并一直持续进行钓鱼攻击。

目标受害者影响分析

无论是钓鱼邮件“中国冠状病毒病例:查明您所在地区有多少”还是“Coronavirus - H&Q AUTO Update”,其中的恶意程序都只是个木马下载器,最终执行的木马都是 Agent tesla 木马。


从本次截取的样本数据中,安全专家获得多个“SWEED”黑客组织收取盗窃密码的邮箱,收件箱中共发现 342 封邮件,对应 342 个受害者,经去重后被窃取的相关账号密码多达 1307 个,主要以 chrome 和 firefox 中存储的密码为主。



数据回传邮件中的账号分布占比



受害者主机回传的邮件


尽管木马上传程序中并没有设定记录受害者 IP,安全专家通过提取 EML 的 Received 头中发件客户端 IP 作为受害者 IP,统计发现受害者遍布 57 个国家。安全专家进一步根据登录 URL、受害者 IP、账户三个属性筛选出 20 多个中国受害者,得到 30 多个国内账号,并经校验发现目前部分账号依然可在线登录。

相关安全建议

针对已购买“睿眼·邮件攻击溯源系统”的单位

1.实时检测疫情相关钓鱼邮件

在睿眼·邮件的“威胁检测”->“专家模式”下选择威胁邮件,搜索主题或邮件正文中带有疫情相关关键字的邮件,并另存为场景,实现对疫情特殊时期这一场景下的威胁邮件实时监测。


疫情相关关键字可参考:疫|疫情|冠状病毒|病毒|武汉|流感|卫生|中华人民共和国国家健康委员会|卫生应急办公室|旅行信息收集申请表|卫生部指令|封城|Epidemic|situation|coronavirus|wuhan|influenza|health|COVID-19|Face mask|thermometer|World Health Organzaction



通过关键词设置实现抗疫期间特定场景的威胁邮件实时监测

2.自定义分组疫情相关钓鱼邮件

在睿眼·邮件的“业务管理” -> “自定义规则” -> “添加”设定主题为疫情相关词条时,添加到“疫情钓鱼”分组,实现自定义分组。后续可在界面选择自定义分组,对疫情相关钓鱼邮件进行专门检查。



自定义设置规则实现对特定威胁邮件的自动分组

3.MDR 服务:邮件攻击溯源服务

针对政企单位自身或部署睿眼·邮件发现的威胁邮件,中睿天下安全专家针对其需求进行深入溯源分析,包括邮件来源、邮件影响范围、邮件攻击目的、攻击者身份背景等溯源分析,最终以报告形式交付,适用于高级邮件攻击事件的溯源分析。

针对普通邮箱用户

  1. 谨防关于“疫情”、“新型冠状病毒”、“COVID-19”等相关热点词汇的电子邮件,不要随意下载或打开来历不明的相关邮件及附件。

  2. 由于附件中除使用 office 漏洞和 PE 文件以外,office 宏攻击最为常见。建议在 office 选项->信任中心->信任中心设置->宏设置->禁言所有宏进行设置,关闭 office 宏功能,防止被宏病毒感染。

  3. 正文中如果存在网站链接或可点击图片,可点击右键检查其链接 URL 与描述是否一致。当 URL 中带有当前邮箱名或使用短链接,如非业务需要,很可能就是钓鱼网站。

疫情相关高频邮件名(部分)

诈骗类型钓鱼邮件


  • 中国冠状病毒病例:查明您所在地区有多少

  • Supplier-Face Mask/ Forehead Thermometer

  • The Latest Info On Pharmaceutical Treatments And Vaccines.

  • We Have A Lot Of Face Mask!!!

  • Your health is threatened!

  • COVID-19 批准的针对中国,意大利的补救措施


WHO 组织伪造


  • COVID-19 UPDATE

  • COVID-19 更新

  • RE: Final Control Method | World Health Organization| Important

  • COVID-19 Solution Announced by WHO At Last As a total control method is discovered

  • RE: Coronavirus disease (COVID-19) outbreak prevention and cure update.

  • World Health Organization/ Let’s fight Corona Virus together

  • World Health Organization - Letter - COVID-19 - Preventive Measures


疫情相关恶意邮件附件名


COVID-19 UPDATE_PDF.EXE


CV + PICTURES 2938498-02-27-2020.arj


list.xlsx


message.txt .scr


uiso9_cn.exe


Coronavirus Disease (COVID-19) CURE.exe


Breaking___ COVID-19 Solution Announced.img


game_zy0520.pif


CORONA_TREATMENT.pdf.exe


covid-19.img


COVID-19 WHO RECOMENDED V.exe


H&Q AUTO customer letter COVID-19.doc


WHO-COVID-19 Letter.doc


相关 IOCS:



2020-04-16 18:392266

评论

发布
暂无评论
发现更多内容

SecureCRT for mac(终端SSH工具)

Mac相关知识分享

FSNotes for mac(文本处理软件)v6.9.8 中文免激活版

小玖_苹果Mac软件

Cycling 74 Max for Mac(音乐可视化编程软件)v9.0.2激活版

小玖_苹果Mac软件

探索淘宝天猫API:轻松调用商品详情与关键词搜索商品列表

代码忍者

API 接口 pinduoduo API

ExponTech华瑞指数云荣获2024年度AI存储产品金奖

科技热闻

Sketch for mac(专业矢量绘图设计软件)中文版

Mac相关知识分享

Sequoia Cache Cleaner for mac(系统清理优化工具)v20.1激活版

小玖_苹果Mac软件

企业采购比价:采购时借用京东商品详情接口来采购比价

tbapi

京东商品详情接口 京东API

一键擦除手写笔迹,试试这款省时省力的学习利器

合合技术团队

学习 手写识别 文字擦除 人工智能】

套娃嵌入:如何优化向量搜索成本,并兼顾延迟与召回

Zilliz

Milvus 向量搜索 套娃嵌入 向量存储

CodeRunner for Mac(多功能代码编辑软件)v4.4注册激活版

小玖_苹果Mac软件

软件测试丨Python语法与数据结构

测试人

软件测试

如何开展超大型企业IT中心的企业级需求管理

易成研发中心

淘宝天猫API接口调用:轻松获取商品描述与评论

代码忍者

API 接口 pinduoduo API

AI Transcription for Mac(AI语音转录软件)v2.9激活版

小玖_苹果Mac软件

Paste Wizard for Mac(剪贴板管理器)v14.1激活版

小玖_苹果Mac软件

CAPS Wizard for mac(打字输入辅助应用)v5.5激活版

小玖_苹果Mac软件

Screen Recorder by Omi Mac(Omi录屏专家‬)v1.3.11激活版

小玖_苹果Mac软件

为什么要做需求管理

易成研发中心

需求管理

向量检索服务产品规格

DashVector

人工智能 AI 向量检索 大模型 向量数据库

24年最新Java岗常见面试题(1000道附答案分享)

采菊东篱下

程序员 java面试

10 亿行数据集处理挑战:从 15 分钟到 5 秒

俞凡

golang

XMind for mac (XMind思维导图)中文版

Mac相关知识分享

WonderPen妙笔 for Mac(Mac文本写作工具)v2.5.8中文激活版

小玖_苹果Mac软件

WonderPen妙笔 WonderPen下载 WonderPen中文版 WonderPen激活版

【FAQ】HarmonyOS SDK 闭源开放能力 — 公共模块

HarmonyOS SDK

打造个性化的Allure2报告:定制Logo和样式的软件测试报告

测试人

软件测试

如何用大模型+向量数据库,帮你搞定出行规划与旅游blog

Zilliz

向量数据库 LLM 大模型幻觉 微调

分组向量检索

DashVector

人工智能 数据库 向量检索 大模型

工作中如何不动声色展现价值

俞凡

思维模型 认知 沟通技巧

NFTScan | 11.18~11.24 NFT 市场热点汇总

NFT Research

NFT\ NFTScan

Steinberg Dorico Pro for Mac(乐谱编写软件)v5.1.70中文激活版

小玖_苹果Mac软件

一次对钓鱼邮件攻击者的溯源分析_安全_中睿天下(zorelworld)_InfoQ精选文章