快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

基于Tor收集的钓鱼邮件阐发

1、违景

蒲月十一日,我们的蜜罐体拿获到来自xxxxxxxxx@uscourtsgov.com邮箱的钓鱼邮件。其中uscourtsgov就已是一个很唬人的服务器名称了。邮件伪装美国法院的传票,并会请求受害者关上邮件的附件(一个加密的word文档)了解具体的信息。

image.png

这个钓鱼邮件很故意思,作者对文档进行加密,可以有用的防止各个邮件服务器的拦截,并且会给受害者营建一个神秘的氛围,让人忍不住就想关上瞧一瞧。我们输入文档暗码,word提示我们是否启用宏。

image.png

当我们启用宏后,会看到一个提示信息。大体的意思是,“本文档没法关上,请更换一台计算机试试“。看到这里读者们是否是很希罕,我们明显关上了文档,为什么还会出现类似兼容性的提示呢?实在这个提示信息应该是宏产生,作者的目的是想让受害者在多个计算机中关上这个文档。作者的小心思可见一斑啊。

image.png

点击确定后显示给我们的是word的文本内容,文档模仿成一个微软的信息提示。内容的大体意思是提示受害者这个文档要在pc上使用MS关上,并且要允许宏运行。作者这么做的目的是为了防止此文档在web或其他应用中关上,导致宏没法运行

我们可以看出此钓鱼邮件是经过精心设计的,既然花了这么大的心思,作者对于后续的攻击也肯定是付出了很大的起劲。这次钓鱼邮件的阐发也将是一场有趣的旅程。

二、攻击流程

 我们在执行完word文档后,发现体出现了一些可疑的收集举动,所以在进行具体阐发之前,我们先团体上对钓鱼邮件的攻击流程进行跟踪,从宏观上把握此次事故的总体流程,随后再对详细的步骤进行具体的阐发。大体的阐发出了下列的攻击步骤:

1.  受害者接收钓鱼邮件,关上邮件附件的word文档,并执行宏脚本。

2.  宏脚本下载执行一个名为background的恶意文件,并弹出体系不兼容的提示框。

3.  background下载一个名为taskwgr.exe的自解压文件,解压生成两个文件install.sql以及svchost.exe。4.  taskwgr.exe执行svchost.exe。svchost.exe文件将install.sql解密,执行。

5.  install.sql会连接tor收集,然后加密受害者计算机的文件,弹出勒索信息。

攻击流程图:

image.png

3、word宏阐发

要是允许宏运行,很遗憾,受害者的计算机颇有可能会受到后续的一系列攻击。

那么宏到底做了什么?就让我们一块儿来研究一下。我们先将word文档暗码去掉,另存为一个新的文档。

image.png

我们查看宏的内容,此时会发现文档中宏及VB工程都是空的。

image.png

image.png

好吧,看来我们没那么容易获取到宏代码。攻击者还算是想的比较缜密,将代码隐躲了起来。

在word中启用文档宏,点击确准时,WEB黑客,按住SHIFT,阻止宏自动执行。再次关上VB编辑器,现在文档中的VB工程出现了,关上时会发现工程被加了暗码。

image.png

image.png

无非VB工程的暗码可以通过损坏工程文件加密结构的要领将其损坏,我们照样可以获取到代码的。起首将文档另存为docm格式,因为新版office文件是zip格式。

image.png

然后再将保存出来的docm扩台甫修改成zip,解压。

image.png

在解压出来的目录中,可以找到word/vbaProject.bin,该文件就是word文档的VB工程文件。

image.png

用16进制编辑器关上,找到“CMG=”以及“DPB=”,这里就是VB文档的加密结构,因为word的处理机制问题,只要要将DPB改成DPx即可使暗码失效。

image.png

找到“DPB=”字符串,直接将DPB改成DPx,如许暗码就失效了。

image.png

image.png

将之前解压出来的目录重新打包成zip格式的docm文件

image.png

现在关上保存出来的docm文件,启用宏,word会提示DPx无效,点击“是”的时辰需要按住shift阻止代码自动执行。

image.png

image.png

再次关上VB编辑器,就可以看到文档的VB宏内容了。

image.png

我们成功获取到了宏代码,这段VB的实际操作为比较简单,详细举动以下:

1从http://185.189.58.xxx/~filehost/ background.png下载一个PE文件

2、将文件保存为$TEMP$/svchost.exe

三、执行该文件

四、弹出新闻框,大请安思为:“体系不支持该加密文档,请尝试在其他机器上关上”

五、关闭word文档

4、background举动阐发

 word宏的目的是下载一个PE文件,那么我们接下来需要对该PE文件进行阐发。我们针对样本症结的内容进行讨论,为了叙述方便,我们下文都将样本称之为background。

1.background是由NSIS制造的装置程序。background会获取暂且路径,这将是background接下来的工作路径。

image.png

2.在暂且目录创建一个文件夹,用于存铺开释的文件。

image.png3.接下来background会开释出一个用于加密解密的动态链接库wpoke.dll。

image.png4.background加载wpoke.dll,使用其中导出的DecryptSy妹妹etric函数进行数据解密。

image.png

解密两段加密数据,其中第一段为走访下载的URL。

image.png

第二段为文件名称svchost.exe 。

image.png5.接下来开释用于下载的INetC.dll。其中开释代码与wpoke.dll代码相同。然后加载INetC.dll,调用其中的get函数进行下载。

image.png

6. 将下载文件保存为用户的ApplicationData目录下taskwgr.exe,启动taskwgr.exe

image.png

image.png

至此我们已经清楚background的首要举动了。background是个下载器,首要目的是下载taskwgr.exe文件,并运行。

5、taskwgr.exe举动阐发

阐发taskwgr.exe可以发现taskwgr.exe并不是一个PE文件,而是个加密的winrar自解压文件。我们通过拿获background的CreateProcess可以截取到taskwgr.exe的解压暗码。

image.png

image.png

使用暗码解压taskwgr.exe文件,开释出install.sql以及svchost.exe。从扩台甫上看install.sql是个数据文件。我们先阐发svchost.exe,会发现svchost.exe加壳了,脱壳后的首要代码以下图。

image.png

svchost.exe读取install.sql文件(解密后实在是一个新的PE可执行文件),创建一个自身的子进程,将解密后PE内容直接写入子进程的进程中,达到执行并隐躲该举动的目的

image.png

6、install.sql举动阐发

解密的install.sql是一个勒索病毒,首要流程为:

1.检测体系信息,获取了体系版本、用户名、机器名,走访http://ip-api.com/json获取内陆 IP信息

image.png

2.下载Tor

https://archive.torproject.org/tor-package-archive/torbrowser/7.0/tor-win32-0.3.0.7.zip

下载了tor,保存在

AppData\Roaming\Microsoft\B284A9B11BD4B45CDAF4B8CF39A4B97B\System.zip

image.png

3.当下载实现后,解压,并将tor.exe重命名为svchost.exe,然后执行。(tor原本被以隐躲方式执行,手动将其改成正常显示)

可以发现作者在程序中配置了tor代办署理,以后将通过tor发送收集要求

image.png

4.然后样本根据体系信息,补上了连接的参数部分,连接本人的服务器

http://lzt4y6qj7azyldq2.onion/control.php?uid=B284A9B11BD4B45CDAF4B8CF39A4B97B&uname=Fate&os=Windows7&pcname=WIN-UBAA1MQALH9&total=8970&country=China&network=yes&subid=1595.

image.png

image.png

在加密完体系中的文件后,会放出勒索信息,同时向服务端发送相应的信息

image.png

勒索信息

image.png

image.png

image.pngimage.pngimage.pngimage.png

7、后续以及总结

我们将此次触及到的恶意ip在我们自有的恶意情报平台进行查询。搜集到一些关于此次钓鱼邮件事故的信息:

相干病毒文件

URLs

Date scanned    Detections URL

2018-05-14 5/67   http://185.189.58.xxx/~filehost/scan_05_05_2018.doc?VGZbmiGdjdbrXrDCozJxbSTL

2018-05-14 5/67   http://185.189.58.xxx/~filehost/scan_05_05_2018.doc?ckeRwnnATifPUAVXIKGUg

2018-05-14 3/67   http://185.189.58.xxx/~filehost/1/scan_05_07_2018.doc?UwtmZfooHBtFn

2018-05-13 4/67   http://185.189.58.xxx/~filehost/message.gif?iLbhFrEfVgEtV

2018-05-12 12/68  http://185.189.58.xxx/~filehost/background.png 

从相干病毒文件可以看出来,样本最初出现的时间在蒲月份初。攻击者通过伪造法院的传票,发送钓鱼邮件来传播勒索病毒。邮件一般为发给目标的企业员工,攻击其文件加密,从而进行勒索。虽然说勒索病毒需要连接到tor收集,国内的小伙伴并不需要过分担心。但照样要提醒各位读者,不要随意点击来路不明的邮件附件,请使及时对计算机中的重要资料进行备份,防止无须要的丧失。

我们会对此次事故进行持续追踪以及关注。

*

您可能还会对下面的文章感兴趣: