根据安恒APT云端在对来自北美的流量监控过程中,发现一封来自美国的可疑邮件,该邮件的主题是《您收到的优惠券》,发件人名称显示为“天猫”。
但进一步对发件人的邮箱链接分析,发现实际发件人邮箱并非来自阿里巴巴。通过对邮箱服务器所属区域分析,发现该服务器位于美国。
另外,该邮件还有一个压缩包格式的附件,其中包含的样本实际类型为exe。
根据安恒APT沙箱分析报告显示,该exe样本的主要行为有:写入自启动注册表,增加自启动2;创建网络套接字连接;打开服务控制管理器;创建非常规服务;收集电脑网卡信息;收集计算机名(通过注册表);获取当前用户名;调用加密算法库。
因此,基本可以判断该附件为恶意附件,且明确为精心构造的结合邮件社工的黑客攻击行为。进一步分析其详细可疑行为,发现其关键目标为建立加密回传通道、收集用户信息、向外发送盗取数据。
根据安恒APT沙箱报告可自动分析其行为过程图:
其中关键的恶意行为有释放恶意文件行为,即在打开的过程中还会进一步释放两个其他恶意文件,用于执行后删除文件和拷贝覆盖文件:
进一步对其网络行为分析,发现其建立回传通道的关键服务器两个IP分别来自阿联酋和墨西哥。
黑客通过这两个回连服务器,建立控制通道,向外回传数据,因此初步判断其攻击源和回连服务器都指向了北美地区。
根据安恒APT云端近半年监控到的数据,发现来自同一区域的攻击多达数万次,其最终攻击目的都是以获取权限和控制为主,攻击具有极强的隐蔽性、针对性和持续性,常规基于杀毒软件、防火墙的安全防护能力不再适用,加强预警意识和提高防范能力,尤其是针对邮件威胁的安全预警和防护体系!
安恒APT产品通过内置沙箱虚拟执行环境,可以对各种基于邮件附件传输的样本模拟运行分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识别其中可疑的勒索病毒特点,快速对网络中传输的勒索病毒样本进行预警,及时通知被攻击方提高安全防范意识,防止出现被感染的情况。
同时,结合安恒APT云端可为用户提供更为深层的威胁分析服务、安全预警服务和情报共享服务,依托于云端的海量数据、高级的机器学习和大数据分析能力,可及时共享最新的安全威胁情报,提供更为精准的威胁分析能力,用户也可直接访问云端,上传、查询和确认样本的分析结果,感知最新的安全情报。
声明:本报告中所有分析截图均来自于安恒APT产品自动生成的沙箱分析报告