查看: 1239|回复: 0
收起左侧

[技术原创] 针对钢铁行业的定向攻击分析报告

[复制链接]
腾讯电脑管家
发表于 2018-8-7 18:03:34 | 显示全部楼层 |阅读模式
0x1 概况
        7月份腾讯见威胁情报中心在日常监测网络攻击行为现了多起针对钢铁行业的邮件钓鱼攻击,黑客在攻击中大量使用钢铁行业相关的诱饵文档,比如销售合同、商品价位表、规格书及图片等等。这些诱饵文档实际上为CVE-2017-11882漏洞文档。
一旦运行这些诱饵文档,用户电脑会自动触发CVE-2017-11882漏洞,进而下载病毒文件。据统计,整个7月份网络上类似的邮件钓鱼高达10万余次,借此传播的远控木马类型多达10余种,包括RemcosRATNetWireAgentTesla、LokiBotHawkEyeFormbook等等。
这些远控木马不仅会窃取用户的敏感信息,包括键盘记录、窃取邮箱帐号密码和几乎所有浏览器记录的网站帐号密码等,同时还支持多平台远程控制,根据黑客下发的指令下载和执行恶意程序,控制受害者电脑,使之成为僵尸网络的组成部分。
害用户主要是钢铁行业的海外业务拓展人员。出于业务拓展需要,不少用户习惯将联系邮箱等信息挂到各大社区网站或论坛。黑客利用爬虫程序能够轻易收集到这些邮箱信息,并加以利用。
本轮钓鱼攻击的其中一例钓鱼邮件,是以“China Steel Offer”为题,附件有名为“China Steel Pricelist.doc”的CVE-2017-11882 漏洞文档。漏洞文档被打开后,会从“uploadtops.is”下载和执行NetWire远控木马,从使受害者沦为受黑客控制的鸡”。以下为具体分析:
(钓鱼邮件内容及翻译结果)
(漏洞文档中的内容)
0x2 技术分析
下载下来的样本为vb语言编写vb程序中有一段加密的shellcode.
vb程序入口点
Shellcode解密出pe,然后内存加载和执行此pe文件
(内存中的pe文件)
Dumpe中字符串信息如下,字符串明显被加密了。
加密的字符串信息)
解密后的部分明文字符串)
木马的配置信息都被加密存储了,解密后可以看到木马的c2地址
解密c2)
木马会调用RegisterRawInputDevices、GetRawInputData等api来实现键盘记录器的功能收集硬盘信息等是此木马的功能之一。
键盘记录器代码)
(收集磁盘信息)
通过查阅此木马用户使用手册木马仅支持windows平台,还支持Linux、Solaris、Mac OS等平台通过此木马的生成器还能生成java或apk版的木马。木马主要功能有文件管理、系统管理、窃取存取在计算机的密码、键盘记录、屏幕截取、远程shell、下载、反向代{过}{滤}理等功能
NetWire用户手册)
        该木马可以窃取Mozilla Firefox所有版本、Internet Explorer所有版本、Opera所有版本、Chrominum所有版本、SeaMonkey所有版本的网页浏览存储的密码,还可以窃取邮箱软件Mozilla Thunderbird和Outlook中存储的密码,支持获取聊天工具Winds Live Messenger 和Pidgin的密码。
0x3 联分析
在腾讯御见威胁情系统中利用“uploadtops.is”域名进行查,我们发现了较多的木马会从域名进行下载。
地域分布方面,广东、江苏、浙江等地区攻击较严重
通过下载到的木马进行关联分析,我们还现一批在漏洞文档中张贴工商银行票据当诱饵攻击活动同样是使用钓鱼邮件CVE-2017-11882漏洞的攻击方式。
(漏洞文档中的内容)
   们发现在轮攻击活动中,使用的诱饵文档,不有钢铁相关的销售合同,还有直接其它需要钢铁的周边物件规格书比如“脚手架”)、或者包含钢材相关的图片等
(脚手材料漏洞文档)
漏洞文档中的内容)
     上述url下载回来的木马都属于远控木马,大致功能与本文中的netwire 相同,不再作进一步分析。
0x4 安全建议
1. 使用腾讯御点终端安全管理系统(下载地址:https://s.tencent.com/product/yd/index.html,及时修复系统高危漏洞,防御病毒木马威胁
2.  推荐使用御界防APT邮件网关(相关链接:https://s.tencent.com/product/yjwg/index.html),迅速识别APT攻击邮件、钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。
3. 打开邮件时要注意识别邮件发件人信息,不要轻易打开来历不明的邮件中的附件。
4.  企业网管可以为防火墙新增IOCs里ip和url的拦截。
IOCs(版面限制仅列取部分IOCs:
Md5:
631B419E508DCD0D27A8356EA7320BA0
B6E34732931FC3AEE81212A5DA28E0F7
8F74B0819480B9E366698247E9D906FE
2B4C5710965464A62B031162B558A2FF
B0BCBB734FEBD05B532CBE81B5261181
A9801AB39E5F3E7CFAC7B2F586F977A5
2D6AD5C64ADFB87D8E56810D59308EBF
EFC31F6152590A8CFDBEF28C7009216D
E4DB905B3261DA8FF73F5FE2C1FBF2A5
E0A44F72F5AD387B195775F1530C616C
AF9736CAFD11FBE15BC09AA682487197
918392BDDB4F1E6D44692C9F661E9413
77D2A6994A52D8ACDC15BF059DCFB873
24D7570EEC986267D81833E7AC6AD632
248835c2d9e162de632365fc282bc66b
58ebf194f201b445e8c0f500e0f2faf3
e94af21e3ea6d35fb7fcd1044b4aada4
b42453c664d49fb02780d7f1b7f11695
369b8dfb6b56625066a7a4a5512d9b78
29ac6bda8965435714a9781fca062732
C2:
wealthyman.brasilia.me
185.163.100.22
154.118.72.52
billions.ddns.net
https://www.golibanu.info/shaq/fre.php
http://www.labamayu.info/neu/fre.php
url:
uploadtops.is/3/T/IdBr2wo
uploadtops.is/3/T/BxCGF46
uploadtops.is /3/T/Q4kKZ5q
uploadtops.is/1/q/pjxXWFW  
uploadtops.is/1/f/ADZj0Ei  
uploadtops.is/1/q/74BCmcp
uploadtops.is /1/q/iATyXjM  
uploadtops.is /1/q/XQOMohn
uploadtops.is /1/q/qfDVR3d
uploadtops.is /1/q/yHDLwC6
uploadtops.is /1/q/OscbxJh
uploadtops.is /1/q/roHfXU8
uploadtops.is /1/q/jd2YPLZ

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 22:24 , Processed in 0.124141 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表