事件概述
Email文件
恶意载荷
本次攻击事件流程大致如下:
详细分析
攻击者通过创建与中国移动相似的邮箱来投递邮件,增大自身邮件内容可信度。使用信息泄露作为话题与用户进行接触,在邮件中着重提醒了,根据附件“信息泄露列表“进行自查。
附件分析
打开附件可以看到以下文件列表,其中不仅可以看到邮件中提到的“泄露列表-待反馈”的文件,还有一个属性为“DSHR”的“Notepad++“的文件夹。
文件属性参考下方说明,即文件夹“Notepad++“为系统隐藏文件夹。
解压后如下图所示:
对lnk文件进行分析可以看到执行该快捷方式时,会启动上述提到的系统隐藏文件夹“Netepad++“中的程序。
Notepad++
文件夹内包含文件如图所示,主程序“notepad++.exe“为2021年6月发布的”8.0.0.0“版本。
其中带有恶意功能的载荷伪装为notepad++自带的插件mimeTools。程序使用go语言编写。在mimeTools中,使用以下方式检测设备环境:
-
设备是否安装企业微信。
-
本地磁盘容量
-
本地磁盘数量
-
内存大小
-
是否从临时文件路径启动
当通过验证后,将“Notepad++”文件夹中的“license.cer”以及“sign.md”读入,使用ecc进行解密。将解密之后的shellcode注入到explorer.exe中执行。Shellcode如下,可以在数据末尾看到配置的CC。
总结
可能是得益于“notepad++“的签名,涉及样本的检出率较少,甚至作为启动“notepad++”的快捷方式的检出率为零。本次事件也为我们敲响了警钟,攻击者往往不仅要博取目标用户的信任以执行代码,还在想方设法获取杀毒引擎的信任,如白利用、供应链等手段层出不穷。我们安全分析员也不能局限于主体程序,还需多注意dll、插件等不起眼的角落。
又或者是位于中国广东电信网的邮件发送地址:
处置建议
可使用山石网科防火墙和NIPS产品的C2和AV防护模块来防范该风险,请确保将特征库升级至最新版本。山石网科防火墙与态势感知云景可以有效地预警并拦截与APT组织相关的威胁情报(IOC)和恶意行为。
附录
MD5:
51ff2c1fc63db6b95b95353cd946db64
IP:
关于山石网科情报中心
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
原文始发于微信公众号(山石网科安全技术研究院):一次冒充安全部门的模拟邮件钓鱼攻击分析
