警惕隐藏在购物狂欢节背后的黑客攻击

根据安恒APT云端在对来自北美的流量监控过程中,发现一封来自美国的可疑邮件,该邮件的主题是《您收到的优惠券》,发件人名称显示为“天猫”。

但进一步对发件人的邮箱链接分析,发现实际发件人邮箱并非来自阿里巴巴。通过对邮箱服务器所属区域分析,发现该服务器位于美国。

另外,该邮件还有一个压缩包格式的附件,其中包含的样本实际类型为exe。

根据安恒APT沙箱分析报告显示,该exe样本的主要行为有:写入自启动注册表,增加自启动2;创建网络套接字连接;打开服务控制管理器;创建非常规服务;收集电脑网卡信息;收集计算机名(通过注册表);获取当前用户名;调用加密算法库。

因此,基本可以判断该附件为恶意附件,且明确为精心构造的结合邮件社工的黑客攻击行为。进一步分析其详细可疑行为,发现其关键目标为建立加密回传通道、收集用户信息、向外发送盗取数据。

根据安恒APT沙箱报告可自动分析其行为过程图:

其中关键的恶意行为有释放恶意文件行为,即在打开的过程中还会进一步释放两个其他恶意文件,用于执行后删除文件和拷贝覆盖文件:

进一步对其网络行为分析,发现其建立回传通道的关键服务器两个IP分别来自阿联酋和墨西哥。

黑客通过这两个回连服务器,建立控制通道,向外回传数据,因此初步判断其攻击源和回连服务器都指向了北美地区。

根据安恒APT云端近半年监控到的数据,发现来自同一区域的攻击多达数万次,其最终攻击目的都是以获取权限和控制为主,攻击具有极强的隐蔽性、针对性和持续性,常规基于杀毒软件、防火墙的安全防护能力不再适用,加强预警意识和提高防范能力,尤其是针对邮件威胁的安全预警和防护体系!

安恒APT产品通过内置沙箱虚拟执行环境,可以对各种基于邮件附件传输的样本模拟运行分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识别其中可疑的勒索病毒特点,快速对网络中传输的勒索病毒样本进行预警,及时通知被攻击方提高安全防范意识,防止出现被感染的情况。

同时,结合安恒APT云端可为用户提供更为深层的威胁分析服务、安全预警服务和情报共享服务,依托于云端的海量数据、高级的机器学习和大数据分析能力,可及时共享最新的安全威胁情报,提供更为精准的威胁分析能力,用户也可直接访问云端,上传、查询和确认样本的分析结果,感知最新的安全情报。

声明:本报告中所有分析截图均来自于安恒APT产品自动生成的沙箱分析报告

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2016-11-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

网络罪犯:互联网丛林中的捕猎者

作者 Rabbit_Run 概述 任何使用互联网的人都身处危险之中,不分你年龄几何,不管你在网络上喜欢做什么。网络罪犯能够部署一个强大的军火库,瞄准任何可能的...

23360
来自专栏FreeBuf

黑了记者:写个恶意软件玩玩(一)

潘多省日报(Pando Daily)的编辑Adam Penenberg最近发表了一篇文章《我让黑客来调查我,他们的发现让我不寒而栗》,讲述了我和我的小伙伴“骚扰...

214100
来自专栏FreeBuf

保护物联网安全的6条基本原则,你做到了几条?

随着物联网深入普及,点进来看这篇文章的你肯定也听说过各种关于“物联网宿命”的预言。任何联网的设备,例如,监控摄像、路由器、数字视频记录器、可穿戴设备、智能灯等都...

212100
来自专栏科技前线

假冒App引发的新网络钓鱼威胁

网络钓鱼(即假的,恶意的电子邮件)常常被人鄙视。在全球聚焦于网上的“零日漏洞攻击”(zero days)、网络“武器”和“动能”网络攻击的时候,网络钓鱼电子邮件...

15050
来自专栏安恒信息

FireEye:IE再曝0day漏洞,国内暂未出现攻击

近日,国外安全公司FireEye宣布发现新型IE 0day漏洞攻击,该漏洞影响Windows XP和Windows 7系统上的英文版本IE浏览器。不过FireE...

29360
来自专栏FreeBuf

一台二手电脑引发的离奇“黑客”故事

下面就是我的亲身经历。 二手电脑 最近,我想买台新电脑,就是那种低端笔记本,可以应付一些轻量级的工作,HP Stream似乎是个不错的选择。而且让我惊喜的是,如...

31670
来自专栏FreeBuf

勒索软件终结者:勒索软件,今天叔叔要教导你一些做人的道理!| 原创工具

勒索软件终结者下载页面地址: http://www.pinchins.cn/ 哦对了,我们这里还收集所有勒索软件解密工具,以下是链接地址: http://www...

28570
来自专栏黑白安全

告诉你怎么样用WIFI逐步渗透至内网

这个是我帮助朋友公司做的一个渗透测试,在这之前,并没有收到任何相关信息,唯一的可用渠道就是WIFI,而对方的要求就是希望我测试一下,整个网络是否安全,是否存在漏...

14740
来自专栏FreeBuf

你家路由器“有趣”的24小时 | 路由器真的安全吗?(含视频)

想必大家都知道最近美国东海岸地区的网站遭遇了一次大规模的DDoS攻击,此次的攻击导致大量用户无法正常访问网站的服务。 根据安全研究专家的分析结果,此次DDoS攻...

23270
来自专栏安恒信息

解密伪造钓鱼WiFi:安恒信息支招如何让WiFi使用更安全

央视3·15晚会再次关注手机应用安全问题,在晚会上曝光了免费WiFi的安全问题,并在现场给大家演示了利用伪造钓鱼WiFi技术窃取了台下观众的上网内容。坦白的说,...

393100

扫码关注云+社区

领取腾讯云代金券