1. 威客安全首页
  2. 安全资讯

针对海外贸易公司的钓鱼攻击

针对海外贸易公司的钓鱼攻击

 

近期,360安全大脑监测到有团伙针对海外贸易公司进行持续性的钓鱼攻击,经过深入分析发现此次钓鱼行为包涵了多种深度隐蔽的手段(如漏洞、隐写等等),多管齐下来保证自身钓鱼成功率。此次钓鱼攻击在攻击手法上也沿用了通过邮件、即时通讯工具,加上极具迷惑性的标题和吸引人的内容,一旦用户点击打开文件,木马将隐蔽地“安家落户”。

不过广大用户不必担心,360安全大脑已经及时查杀此次钓鱼攻击,避免广大用户的安全受到威胁。

1、发起攻击

目前绝大多数的钓鱼攻击都需要通过有问题的文件、挂马的网站来实施攻击,所以360在此告诫广大用户切勿打开运行来源不明的文件,访问别人发来的网址前要核对网址是否可以信任。

此次钓鱼自然也没有逃出上述的范畴,依然选择了通过邮件发送携带漏洞的文档进行钓鱼。该文档利用了漏洞CVE-2017-11882,此漏洞通过公式编辑器来执行命令行进行攻击,大致流程如下图所示。

针对海外贸易公司的钓鱼攻击

下图为360安全大脑所捕获到众多样本中的一例,双击打开DOC文档(Tracking Details & Percel Images.doc)之后其内部恶意代码会主动弹窗试图欺骗用户(图一),表面上让用户以为是自身磁盘空间不足的问题,然而实际上已经开始在后台通过命令行悄悄的下载执行恶意文件(图二)。

针对海外贸易公司的钓鱼攻击

图一,迷惑用户的提示

针对海外贸易公司的钓鱼攻击

图二,后台命令行下载执行恶意文件

恶意MSI文件执行后会释放恶意文件并添加开机启动的计划任务(图三)

针对海外贸易公司的钓鱼攻击

图三,添加开机启动的计划任务

深入分析释放出来的文件发现其通过PNG隐写技术将真正的模块隐藏在自身携带的图片资源中,在运行时从图片中动态提取出恶意模块,然后直接在内存中加载执行。

针对海外贸易公司的钓鱼攻击

图四,从PNG图片中提取恶意模块

2、同类发现

在此之上,360安全大脑根据其特征关联发现了一些其他同类样本,虽然文件大小不尽相同,但是其核心功能都是通过隐写PNG来隐藏真正的模块。

针对海外贸易公司的钓鱼攻击

图五,尝试欺骗安全人员的函数命名

针对海外贸易公司的钓鱼攻击

图六,其他同类样本

通过dump在内存中的恶意模块,深入分析之后发现其首先做了多种躲避查杀的检测:

(一)关闭windows defender实时防御

针对海外贸易公司的钓鱼攻击

(二)虚拟机检测

针对海外贸易公司的钓鱼攻击

(三)检测沙箱

针对海外贸易公司的钓鱼攻击

3、最终载荷

在做完以上的各种检测之后样本终于露出獠牙,展开最终的行为——加载窃密软件FORMBOOK,该软件本身逻辑并不复杂,主要是以多重加密来对抗分析,过程中辅以动态修改代码、注入、重新Load自身等等手段增强对抗效果,最终通过HOOK API的方式窃取用户的网页输入、剪切板内容等信息。

3.1准备工作

该恶意软件的准备阶段主要是自己在内存中重新映射了一个Ntdll.dll,这样可以使常规API断点失效;紧接着就是一连串的环境检测。

针对海外贸易公司的钓鱼攻击

3.2第一次注入

准备工作完成之后,该恶意软件首先向桌面注入ShellCode,然后等待ShellCode执行完毕。

针对海外贸易公司的钓鱼攻击

ShellCode的功能是让桌面进程创建一个挂起的子进程,然后将一系列参数共享给恶意模块代码,方便后续进行进程镂空的操作。(值得注意的是每一次所创建的子进程是从预先准备好的列表中随机选取的)。如下图所示,恶意代码使用ShellCode共享出来的参数将自身完整复制到傀儡进程,完成金蝉脱壳。

针对海外贸易公司的钓鱼攻击

3.3第二次注入

成功进入傀儡进程之后就会开始遍历当前活动进程,如果进程名计算出来的哈希值可以匹配上其预先准备好的进程名哈希列表,就会紧接着向目标进程注入下一步工作的代码。

针对海外贸易公司的钓鱼攻击

下图为具体的注入行为。

针对海外贸易公司的钓鱼攻击

3.4最终窃取信息

进入最后的目标进程之后将根据不同的进程展开不同行为,但是容易知道其主要针对浏览器上的信息收集,具体的窃取过程较为敏感,此处不多做展示。

针对海外贸易公司的钓鱼攻击

下图为恶意软件最终获得用户所输入的账号密码并即将发送的状态。

针对海外贸易公司的钓鱼攻击

4、应对措施

根据360安全大脑观测到的数据来看,近期钓鱼攻击的出现频次有明显上扬,广大用户近期应当格外警惕各种钓鱼攻击,对于收到的文件和信息一定要反复确认来源是否可信再行处理,除此之外:

1、尽快前往weishi.360.cn,下载安装360安全卫士,有效拦截各类病毒木马病毒攻击,保护电脑隐私及财产安全。

2、注重企业人员的安全操作培养,提升人员的安全意识,不要轻易打开来路不明的邮件附件和链接,打开文档前切记要仔细检查文档来源和文件格式。

3、建立内网安全策略,防止攻击发生时危害的进一步扩大。

 

5、IOC

针对海外贸易公司的钓鱼攻击

原文链接:https://www.anquanke.com/post/id/189066

本站声明:网站内容来源于安全客,如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X