偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

一次對(duì)釣魚郵件攻擊者的溯源分析

安全
近幾個(gè)月以來,隨著新型冠狀病毒肺炎“COVID-19”在全球范圍內(nèi)快速蔓延,許多國(guó)家和地區(qū)的衛(wèi)生系統(tǒng)不堪重負(fù)。與此同時(shí),攻擊者卻趁火打劫,利用釣魚郵件對(duì)政府、醫(yī)療等重要部門進(jìn)行攻擊。

疫情相關(guān)釣魚郵件增長(zhǎng)近6倍

近幾個(gè)月以來,隨著新型冠狀病毒肺炎“COVID-19”在全球范圍內(nèi)快速蔓延,許多國(guó)家和地區(qū)的衛(wèi)生系統(tǒng)不堪重負(fù)。與此同時(shí),攻擊者卻趁火打劫,利用釣魚郵件對(duì)政府、醫(yī)療等重要部門進(jìn)行攻擊。

通過近期監(jiān)測(cè)的數(shù)據(jù),睿眼·郵件發(fā)現(xiàn)使用疫情作為釣魚郵件內(nèi)容的郵件大幅增長(zhǎng),其中“冒充WHO組織”、“詐騙捐款”、“疫情物資欺騙”、“疫情進(jìn)度(信息)欺騙”等最為常見。隨機(jī)截取多個(gè)睿眼·郵件的部分流量數(shù)據(jù)進(jìn)行分析,發(fā)現(xiàn)疫情相關(guān)釣魚郵件占總釣魚郵件的比例為1月0%、2月0.0634%、3月0.4013%。相比二月,三月份疫情相關(guān)釣魚郵件增長(zhǎng)近6倍。同時(shí),攻擊者也愛追“熱點(diǎn)”,針對(duì)疫情的最新動(dòng)向不斷更新釣魚話術(shù),利用受害者恐懼、好奇等心理,增加釣魚攻擊的成功幾率。

在2月初國(guó)內(nèi)疫情較為嚴(yán)重的階段,攻擊者使用“中國(guó)冠狀病毒病例:查明您所在地區(qū)有多少”等中國(guó)疫情相關(guān)主題及內(nèi)容進(jìn)行郵件釣魚投放木馬。而到3月中旬意大利疫情迅速惡化階段,攻擊者轉(zhuǎn)為使用“COVID-19批準(zhǔn)的針對(duì)中國(guó)、意大利的補(bǔ)救措施”等國(guó)際熱點(diǎn)內(nèi)容進(jìn)行郵件釣魚投放木馬。

2月:利用中國(guó)疫情相關(guān)內(nèi)容發(fā)起攻擊

3月:利用國(guó)際熱點(diǎn)內(nèi)容發(fā)起攻擊

在進(jìn)行抽樣分析的過程中,中睿天下安全專家團(tuán)隊(duì)發(fā)現(xiàn)多起“SWEED”黑客組織發(fā)起的疫情相關(guān)釣魚郵件,惡意附件類型多種多樣,大多旨在分發(fā)Agent Tesla(一種信息竊取工具,出現(xiàn)于2014年甚至更早),利用CVE-2017-11882漏洞發(fā)起攻擊,并通過smtp協(xié)議回傳數(shù)據(jù)到mailhostbox下注冊(cè)的郵箱。種種跡象與“SWEED”黑客組織的相關(guān)情報(bào)完全吻合。

SWEED至少在2017年就已經(jīng)開始運(yùn)作,主要使用信息竊取工具和遠(yuǎn)程訪問木馬(RAT)來攻擊目標(biāo)。

釣魚郵件溯源分析

我們以其中抽取的兩封“SWEED”黑客組織發(fā)起的釣魚郵件為例,來進(jìn)行詳細(xì)的溯源分析。

1. 郵件1:中國(guó)冠狀病毒病例:查明您所在地區(qū)有多少

釣魚郵件正文

釣魚郵件附件

包含附件:list.xlsx

附件MD5:5fc077636a950cd5f89468e854c0e714

對(duì)附件進(jìn)行聯(lián)動(dòng)分析,發(fā)現(xiàn)其在多個(gè)威脅情報(bào)中爆出使用CVE-2017-11882漏洞攻擊,在2020-03-14 16:33:30首次攻擊被睿眼監(jiān)測(cè)的服務(wù)器。

聯(lián)動(dòng)分析

附件樣本分析:

樣本list.xlsx(MD5:5FC077636A950CD5F89468E854C0E714)利用CVE-2017-11882公式編輯器漏洞,從http://216.170.123.111/file.exe下載文件到%AppData%\Roaming\vbc.exe執(zhí)行。

下載木馬程序

vbc.exe內(nèi)存加載一段ShellCode執(zhí)行。

加載一段ShellCode執(zhí)行

ShellCode中使用ZwSetInformationThread 函數(shù)修改_Ethread結(jié)構(gòu)中的HideFromDebuggers進(jìn)行反調(diào)試,之后動(dòng)態(tài)獲取一些進(jìn)程注入使用的API地址。

使用ZwSetInformationThread進(jìn)行反調(diào)試

動(dòng)態(tài)獲取進(jìn)程注入使用的API地址

之后創(chuàng)建RegAsm.exe進(jìn)程,將本段ShellCode注入新創(chuàng)建的RegAsm.exe進(jìn)程。

創(chuàng)建RegAsm.exe進(jìn)程并注入ShellCode

修改線程Context后恢復(fù)執(zhí)行。

修改線程Context

ShellCode注入RegAsm.exe進(jìn)程后從http://216.170.123.111/nass.exe下載“nass.exe”,其功能與vbc.exe相同。

下載“nass.exe”

再次從http://216.170.123.111/MR_encrypted_D34A1CF.bin下載一個(gè)加密的文件。

下載“MR_encrypted_D34A1CF.bin”

解密之后加載執(zhí)行。

加載執(zhí)行MR_encrypted_D34A1CF.bin

解密后的EXE為C#編寫經(jīng)過混淆的Agenttesla木馬,會(huì)收集計(jì)算機(jī)名、用戶名、系統(tǒng)版本以及內(nèi)存大小等信息,主要為竊取瀏覽器訪問記錄及保存的帳號(hào)和密碼,同時(shí)還具有監(jiān)控鍵盤按鍵和剪切板的功能,支持屏幕截圖。

收集用戶名、計(jì)算機(jī)名

收集系統(tǒng)版本和內(nèi)存大小

竊取瀏覽器訪問記錄及保存的帳號(hào)、密碼

監(jiān)控鍵盤按鍵、剪切板,并支持屏幕截圖等

收集的信息支持HTTP、FTP以及SMTP三種方式回傳。本樣本配置通過SMTP回傳。

配置通過SMTP回傳

惡意程序中存儲(chǔ)的登錄方式經(jīng)過解密可獲取攻擊者使用的郵箱賬號(hào)密碼。

2. 郵件2:Coronavirus - H&Q AUTO Update

釣魚郵件正文

包含附件:H&Q AUTO customer letter COVID-19 update.doc

附件MD5 : 1c87c6c304e5fd86126c76ae5d86223b

3. 附件樣本分析:

對(duì)doc文件進(jìn)行分析,程序調(diào)用Office公式編輯器,利用CVE-2017-11882漏洞進(jìn)行攻擊。

調(diào)用命令行

惡意文件運(yùn)行調(diào)試后會(huì)訪問域名“sterilizationvalidation.com”下載PE文件“elb.exe”,其功能與Agent tesla木馬相同。通過路徑看,是利用一個(gè)存在漏洞的WordPress網(wǎng)站作為C&C節(jié)點(diǎn)。

下載請(qǐng)求

通過SMTP流量將從主機(jī)中獲得的數(shù)據(jù)發(fā)送出去:

wireshark截圖(SMTP流量)

從流量上看,攻擊者通過mailhostbox郵箱服務(wù)商,登陸設(shè)定好的郵箱給自己發(fā)送了一封郵件,郵件內(nèi)容是受害主機(jī)內(nèi)的相關(guān)應(yīng)用賬號(hào)密碼。

SMTP協(xié)議數(shù)據(jù)包

發(fā)送受害者信息的同時(shí),攻擊者也在數(shù)據(jù)包中暴露了收件郵箱的賬號(hào)密碼。對(duì)數(shù)據(jù)解密后,安全專家成功登陸攻擊者的收件郵箱。

攻擊者郵箱的收件箱

這是SWEED黑客組織其中一個(gè)收取回傳信息的郵箱。自2020年1月19日收到第一封郵件起,此郵箱已收到121封郵件。可推斷疫情剛開始爆發(fā),攻擊者便開始了相應(yīng)的郵件釣魚動(dòng)作,并一直持續(xù)進(jìn)行釣魚攻擊。

4. 目標(biāo)受害者影響分析

無論是釣魚郵件“中國(guó)冠狀病毒病例:查明您所在地區(qū)有多少”還是“Coronavirus - H&Q AUTO Update”,其中的惡意程序都只是個(gè)木馬下載器,最終執(zhí)行的木馬都是Agent tesla木馬。

從本次截取的樣本數(shù)據(jù)中,安全專家獲得多個(gè)“SWEED”黑客組織收取盜竊密碼的郵箱,收件箱中共發(fā)現(xiàn)342封郵件,對(duì)應(yīng)342個(gè)受害者,經(jīng)去重后被竊取的相關(guān)賬號(hào)密碼多達(dá)1307個(gè),主要以Chrome和Firefox中存儲(chǔ)的密碼為主。

數(shù)據(jù)回傳郵件中的賬號(hào)分布占比

受害者主機(jī)回傳的郵件

盡管木馬上傳程序中并沒有設(shè)定記錄受害者IP,安全專家通過提取EML的Received頭中發(fā)件客戶端IP作為受害者IP,統(tǒng)計(jì)發(fā)現(xiàn)受害者遍布57個(gè)國(guó)家。安全專家進(jìn)一步根據(jù)登錄URL、受害者IP、賬戶三個(gè)屬性篩選出20多個(gè)中國(guó)受害者,得到30多個(gè)國(guó)內(nèi)賬號(hào),并經(jīng)校驗(yàn)發(fā)現(xiàn)目前部分賬號(hào)依然可在線登錄。

相關(guān)安全建議

1. 針對(duì)已購(gòu)買“睿眼·郵件攻擊溯源系統(tǒng)”的單位:

(1) 實(shí)時(shí)檢測(cè)疫情相關(guān)釣魚郵件

在睿眼·郵件的“威脅檢測(cè)”->“專家模式”下選擇威脅郵件,搜索主題或郵件正文中帶有疫情相關(guān)關(guān)鍵字的郵件,并另存為場(chǎng)景,實(shí)現(xiàn)對(duì)疫情特殊時(shí)期這一場(chǎng)景下的威脅郵件實(shí)時(shí)監(jiān)測(cè)。

疫情相關(guān)關(guān)鍵字可參考:疫|疫情|冠狀病毒|病毒|武漢|流感|衛(wèi)生|中華人民共和國(guó)國(guó)家健康委員會(huì)|衛(wèi)生應(yīng)急辦公室|旅行信息收集申請(qǐng)表|衛(wèi)生部指令|封城|Epidemic|situation|coronavirus|wuhan|influenza|health|COVID-19|Face mask|thermometer|World Health Organzaction

通過關(guān)鍵詞設(shè)置實(shí)現(xiàn)抗疫期間特定場(chǎng)景的威脅郵件實(shí)時(shí)監(jiān)測(cè)

(2) 自定義分組疫情相關(guān)釣魚郵件

在睿眼·郵件的“業(yè)務(wù)管理” -> “自定義規(guī)則” -> “添加”設(shè)定主題為疫情相關(guān)詞條時(shí),添加到“疫情釣魚”分組,實(shí)現(xiàn)自定義分組。后續(xù)可在界面選擇自定義分組,對(duì)疫情相關(guān)釣魚郵件進(jìn)行專門檢查。

自定義設(shè)置規(guī)則實(shí)現(xiàn)對(duì)特定威脅郵件的自動(dòng)分組

(3) MDR服務(wù):郵件攻擊溯源服務(wù)

針對(duì)政企單位自身或部署睿眼·郵件發(fā)現(xiàn)的威脅郵件,中睿天下安全專家針對(duì)其需求進(jìn)行深入溯源分析,包括郵件來源、郵件影響范圍、郵件攻擊目的、攻擊者身份背景等溯源分析,最終以報(bào)告形式交付,適用于高級(jí)郵件攻擊事件的溯源分析。

2. 針對(duì)普通郵箱用戶:

  • 謹(jǐn)防關(guān)于“疫情”、“新型冠狀病毒”、“COVID-19”等相關(guān)熱點(diǎn)詞匯的電子郵件,不要隨意下載或打開來歷不明的相關(guān)郵件及附件。
  • 由于附件中除使用office漏洞和PE文件以外,office宏攻擊最為常見。建議在office選項(xiàng)->信任中心->信任中心設(shè)置->宏設(shè)置->禁言所有宏進(jìn)行設(shè)置,關(guān)閉office宏功能,防止被宏病毒感染。
  • 正文中如果存在網(wǎng)站鏈接或可點(diǎn)擊圖片,可點(diǎn)擊右鍵檢查其鏈接URL與描述是否一致。當(dāng)URL中帶有當(dāng)前郵箱名或使用短鏈接,如非業(yè)務(wù)需要,很可能就是釣魚網(wǎng)站。

3. 疫情相關(guān)高頻郵件名(部分)

詐騙類型釣魚郵件:

  • 中國(guó)冠狀病毒病例:查明您所在地區(qū)有多少
  • Supplier-Face Mask/ Forehead Thermometer
  • The Latest Info On Pharmaceutical Treatments And Vaccines.
  • We Have A Lot Of Face Mask!!!
  • Your health is threatened!
  • COVID-19批準(zhǔn)的針對(duì)中國(guó),意大利的補(bǔ)救措施

WHO組織偽造:

  • COVID-19 UPDATE
  • COVID-19更新
  • RE: Final Control Method | World Health Organization| Important
  • COVID-19 Solution Announced by WHO At Last As a total control method is discovered
  • RE: Coronavirus disease (COVID-19) outbreak prevention and cure update.
  • World Health Organization/ Let’s fight Corona Virus together
  • World Health Organization - Letter - COVID-19 - Preventive Measures

疫情相關(guān)惡意郵件附件名:

  • COVID-19 UPDATE_PDF.EXE
  • CV + PICTURES 2938498-02-27-2020.arj
  • list.xlsx
  • message.txt .scr
  • uiso9_cn.exe
  • Coronavirus Disease (COVID-19) CURE.exe
  • Breaking___ COVID-19 Solution Announced.img
  • game_zy0520.pif
  • CORONA_TREATMENT.pdf.exe
  • covid-19.img
  • COVID-19 WHO RECOMENDED V.exe
  • H&Q AUTO customer letter COVID-19.doc
  • WHO-COVID-19 Letter.doc

4. 相關(guān)IOCS:

 

責(zé)任編輯:趙寧寧 來源: 51CTO
相關(guān)推薦

2023-05-15 15:59:07

2022-03-05 12:00:11

網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊

2021-12-22 13:55:24

攻擊網(wǎng)絡(luò)釣魚惡意軟件

2015-01-15 09:28:23

2014-08-20 09:44:57

2021-10-19 11:49:01

釣魚詐騙DoT美國(guó)交通部

2022-05-05 16:24:21

APT網(wǎng)絡(luò)攻擊后門

2021-03-19 10:11:44

釣魚郵件攻擊惡意軟件

2023-04-21 19:01:55

2019-03-26 08:52:51

2024-07-23 16:37:04

2021-05-31 18:18:46

微軟攻擊黑客

2014-08-01 14:06:45

2018-06-15 07:58:36

2022-03-15 11:51:33

網(wǎng)絡(luò)釣魚Intuit公司報(bào)稅軟件

2022-08-19 15:40:08

密碼證書安全

2024-02-04 09:45:56

2012-11-08 16:05:23

2020-04-29 10:16:51

Zoom網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)釣魚

2021-04-29 09:36:23

攻擊漏洞Kubernetes
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)