警惕隐藏在购物狂欢节背后的黑客攻击

根据安恒APT云端在对来自北美的流量监控过程中，发现一封来自美国的可疑邮件，该邮件的主题是《您收到的优惠券》，发件人名称显示为“天猫”。

但进一步对发件人的邮箱链接分析，发现实际发件人邮箱并非来自阿里巴巴。通过对邮箱服务器所属区域分析，发现该服务器位于美国。

另外，该邮件还有一个压缩包格式的附件，其中包含的样本实际类型为exe。

根据安恒APT沙箱分析报告显示，该exe样本的主要行为有：写入自启动注册表，增加自启动2；创建网络套接字连接；打开服务控制管理器；创建非常规服务；收集电脑网卡信息；收集计算机名（通过注册表）；获取当前用户名；调用加密算法库。

因此，基本可以判断该附件为恶意附件，且明确为精心构造的结合邮件社工的黑客攻击行为。进一步分析其详细可疑行为，发现其关键目标为建立加密回传通道、收集用户信息、向外发送盗取数据。

根据安恒APT沙箱报告可自动分析其行为过程图：

其中关键的恶意行为有释放恶意文件行为，即在打开的过程中还会进一步释放两个其他恶意文件，用于执行后删除文件和拷贝覆盖文件：

进一步对其网络行为分析，发现其建立回传通道的关键服务器两个IP分别来自阿联酋和墨西哥。

黑客通过这两个回连服务器，建立控制通道，向外回传数据，因此初步判断其攻击源和回连服务器都指向了北美地区。

根据安恒APT云端近半年监控到的数据，发现来自同一区域的攻击多达数万次，其最终攻击目的都是以获取权限和控制为主，攻击具有极强的隐蔽性、针对性和持续性，常规基于杀毒软件、防火墙的安全防护能力不再适用，加强预警意识和提高防范能力，尤其是针对邮件威胁的安全预警和防护体系！

安恒APT产品通过内置沙箱虚拟执行环境，可以对各种基于邮件附件传输的样本模拟运行分析，捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息，识别其中可疑的勒索病毒特点，快速对网络中传输的勒索病毒样本进行预警，及时通知被攻击方提高安全防范意识，防止出现被感染的情况。

同时，结合安恒APT云端可为用户提供更为深层的威胁分析服务、安全预警服务和情报共享服务，依托于云端的海量数据、高级的机器学习和大数据分析能力，可及时共享最新的安全威胁情报，提供更为精准的威胁分析能力，用户也可直接访问云端，上传、查询和确认样本的分析结果，感知最新的安全情报。

声明：本报告中所有分析截图均来自于安恒APT产品自动生成的沙箱分析报告