专栏首页FreeBuf藏匿在邮件里的“坏小子”

藏匿在邮件里的“坏小子”

不知从什么时候开始,我的垃圾邮件开始暴增,而且主题千奇百怪,有“再也不用去中国澳门赌博”、“免保人、免抵押”…等推广主题;有“南北方压岁钱差距有多大?”、“爱过才知道什么是痛”…的段子主题;也有“+我微信 dw178gg”、“加扣扣 2848116852”…的交友主题。

这些大部分都能从标题就能判断出来是垃圾邮件,像那种日文、繁体字糅杂在一起的邮件就很难辨别,每次我都要点开看一看里面有什么。咳咳,言归正传,

这里面最让人头痛的还是藏匿在正常邮件里的病毒和钓鱼欺诈邮件,这些“坏小子”们可不仅仅骗个点击而已,稍有不慎我们损失的可能非常多…

一、基本信息

这是我某个邮件中的 xls 文件,以及打开表格后下载的可疑文件。拿到可疑文件第一时间还是扔到“虚拟执行环境”中先让它自己可劲儿折腾一番,很快分析报告就出来了

很可惜,从沙箱报告中看不出特别关键的信息,只能从行为上看出些许端倪,接下来需要我手动开始分析了…

二、行为分析

上手之前准备工作要做足,先梳理下流程:

2.1 XLS 文件(Downloader)

原始样本是一个 xls 文件,主要功能是作为一个 downloader。此文件使用了外部链接功能,这是一种除宏,漏洞之外的另一种载荷投递的方式。打开文件后会提示你更新,点击更新后又会让你确定是否要启动 cmd 进程。

点击文档中的 #REF!可以看到将要执行的命令行代码

样本会从 www.mva.by/tags 中下载 SwiftCopy.exe 存放到临时目录下,然后运行。

2.2 SwiftCopy.exe 文件

使用 PEiD 查一下壳,显示为 ASProtect,我的脱壳技术一塌糊涂,在网上找了一个 OD 的脚本,瞬间脱壳,感谢网友的分享,网友博客链接:https://blog.csdn.net/qingye2008/article/details/1898190

脚本名为 Aspr2.XX_unpacker_v1.osc,大家可以从网上搜索一下这个名字,应该可以搜到。

脱完壳之后是一个 Delphi 程序,其主要目的是创建自身并注入,但是如果不经过九曲十八弯的操作显示不出他的强大,他会循环调用自身中的一些函数,调用次数为 0x3B,这些函数中大部分没什么实质性的作用,但是万万不可大意,这些函数中还有反沙箱的操作,通过获得光标的值,判断光标是否在移动,而且这个循环会连续循环 7 次。

最终样本会创建自身并注入,不用想,重点功能肯定在注入的这部分代码中。

2.3 子进程

待到父进程调用 ZwResumeThread 时附加到目标进程中,代码结构比较简单,如果参数中有-u参数,将会睡眠一段时间。

值得一提的是,程序中调用的系统函数都是动态获得的,从而大大增加了静态分析的难度。

此样本的重点功能就是信息窃取,可以说是相当的全面,循环调用函数,可以看到循环次数为 101,窃取的信息包含浏览器信息,邮箱信息,远程登陆客户端信息等。

此时的程序已经没有了混淆,进入函数后就可以看到程序要窃取信息的目标。

对这些函数进行统计,获得的信息如下(可以说是相当全面)

浏览器类:

读取浏览器的ini文件

读取登录数据

远程登录客户端类:

获取用户名和密码

邮箱类:

获取用户名和密码

样本会根据不同的目标,通过不同的方式窃取数据,可见作者对这些信息相当熟悉。

最终样本会将获得的信息发送到服务端,分析此样本捕获到的 url 为 http://admino.gq/stan/ Panel/fre.php

此域名对应的 IP 为 103.63.2.227,通过情报社区查询,标签有垃圾邮件、钓鱼。红客大佬们可以尝试入侵入侵,看看攻击者截获了多少信息。

接着样本会在 Roming 目录下创建一个文件夹,并将自身拷贝过去,命名为 618D9F. exe,并且将文件属性设置为隐藏。

最后还将在一个无限循环中创建线程,此线程会调用窃取信息的函数,删除目标文件,下载文件并执行。

三、总结

其实这些使用电子邮件和主题吸引用户阅读并打开附件,大部分是针对企业或组织。“坏小子”们伪装的方式非常多,潜伏在一些 DOC、XLS、EXE 等常见的文件格式中也会让人放松警惕,一旦盲目打开或点击电子邮件中的链接,后果可能非常严重!最好的办法就是不要打开他们,不要冒任何感染风险,除非你会使用沙箱产品或具备文件分析的能力。

P.S. 这个样本功能齐全,信息量相当大,我也只分析个皮毛,对这个样本感兴趣的朋友们可以下载下来继续深度分析,肯定能够学到很多知识。

报告地址如下:

db34f7a1ed8dfaf299cc0024dfe8ee4d7e813a0f1e7bf5794db3676a4d07bdd5

*本文原创作者:JustPlay,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-07-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 微信也被监控:HackingTeam语音监控代码分析

    在HackingTeam泄漏的文件,我们发现了有针对主流聊天软件中的语音进行监控的代码,其中包括国内常用的微信。下面就以微信为例,来分析一下HackingTea...

    FB客服
  • 如何进行Linux平台共享库替换

    *本文原创作者:gaearrow,本文属FreeBuf原创奖励计划,未经许可禁止转载 。 共享库基础知识 程序由源代码变成可执行文件,一般可以分解为四个步骤...

    FB客服
  • Win10 Edge浏览器从越界写到任意内存读写

    *本文原创作者:BoA,本文属FreeBuf原创奖励计划,未经许可禁止转载 在刚刚发布的微软11月份安全更新中,比较幸运刷了两个Edge的脚本引擎漏洞,对微软...

    FB客服
  • Python函数基础

    函数是一种设计工具,它能让程序员将复杂的系统分解为可管理的部件 函数用于将相关功能打包并参数化 在Python中可以创建4种函数 全局函数:定义在模块中 //...

    企鹅号小编
  • 房价会崩盘吗?教你用 Keras 预测房价!(附代码)

    书中其中一个应用例子就是用于预测波士顿的房价,这是一个有趣的问题,因为房屋的价值变化非常大。这是一个机器学习的问题,可能最适用于经典方法,如 XGBoost,因...

    AI研习社
  • 如何定制一款12306抢票浏览器——启动“人”线程

            在《如何定制一款12306抢票浏览器——构架》一文中,我们提到“人”线程。对于熟悉Window编程的同学来说,线程间通信和信息传递不是难题。但是...

    方亮
  • 产品经理3分钟都懂K-means聚类算法

    品经理3分钟都懂k-means聚类算法(附C++实现源码) k-means:一种聚类算法,将样本集data[N]分成K个类(要把N个杂乱无章的样本聚合成K个不同...

    架构师之路
  • 手把手教你使用 Redis 实现排行榜

    原文链接:https://www.cnblogs.com/chenzhuantou/p/11321848.html

    业余草
  • Python进阶|函数变量作用域

    在Python编程中,函数是我们接触较多的知识点,毕竟函数是用来节省代码量和提高程序效率很重要的一个手段。

    罗罗攀
  • 信息泄漏篇

    Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反...

    Ms08067安全实验室

扫码关注云+社区

领取腾讯云代金券