查看: 674|回复: 2
收起左侧

[讨论] 钓鱼攻击通过PDF文档暗投后门病毒

[复制链接]
火绒工程师
发表于 2025-2-27 18:01:40 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2025-2-28 10:12 编辑

钓鱼攻击是一种高度隐蔽且极具欺骗性的网络威胁,攻击者通过伪装成银行、保险公司、税务机构或其他可信机构的官方文件,诱导受害者点击下载恶意文件。而在生活和工作中,电子文档作为常用工具,可能也不会让我们“心生防备”。因此电子文档可以成为网络钓鱼攻击的常用媒介,攻击者可以通过表象的“电子文档”来掩盖快捷方式和隐藏文件夹实际的恶意行为,并且电子文档的复杂性和灵活性也导致恶意代码潜藏很深,难以被普通用户察觉,令个人和企业面临财务损失和数据泄露的风险。

近期,火绒威胁情报中心检测到恶意钓鱼PDF样本攻击量增多,且个别样本通过伪装成快捷方式和隐藏文件夹的方式进行传播。经火绒工程师分析,该木马程序采用双重攻击机制:一方面通过VBS脚本执行Python加载器,另一方面利用“白加黑”技术执行恶意文件,最终部署Cobalt Strike远控后门。建议日常可以通过关注可疑的发件人地址、不寻常的链接或过于紧急的要求来规避此风险。同时技术防护手段也不可或缺,如安装可靠的安全软件,对邮件和文件进行实时扫描和检测,监控异常的网络行为。目前,火绒安全产品已具备对该类恶意钓鱼PDF样本的精准识别与拦截能力,能够有效保障用户系统安全。为了进一步增强系统防护能力,火绒安全建议广大用户及时更新病毒库。这将确保您的系统能够抵御最新威胁,防范潜在安全风险。
查杀图

样本执行流程图如下:
流程图

一、样本分析
Loader动静态分析
该样本的初始传播载体是一个压缩包文件,其中包含被设置为受系统保护的隐藏文件夹(+s +h),能够利用快捷方式文件和隐藏的文件夹进行恶意钓鱼攻击。
木马快捷方式利用
默认隐藏受保护文件
显示木马文件夹

首先,样本通过隐藏的快捷方式文件触发WScript.exe,以执行文件夹中的恶意libmultiprocessing.vbs脚本。
执行恶意脚本

随后,通过该脚本获取当前目录并加载木马程序。具体执行流程如下:
1.调用Python加载Shellcode:首先,此脚本利用系统内的Python环境执行Python Loader。随后,利用Python Loader加载并执行一段Shellcode。该Shellcode用于实现后续操作中木马程序的下载与执行。
2.利用默认程序打开PDF:为了掩盖其恶意行为,此脚本会调用默认程序打开样本文件中的PDF文件,诱导用户认为当前操作处于正常状态。
3.启动白加黑木马:接着,此脚本进一步执行“白加黑”木马(即VMwareXferlogs.exe文件)。随后,该木马利用合法程序加载恶意DLL,以绕过安全软件的检测。
libmultiprocessing.vbs脚本

对其中的Python Loader进行分析发现,该Python Loader的核心功能是将整个Python程序打包进压缩包,并通过RC4对Linsce文件中的恶意代码Shellcode进行解密与内存加载。
Python程序打包
内存加载恶意代码

随后,解密恶意代码Shellcode并写入文件。
解密恶意代码

该恶意代码使用自修改代码(SMC)技术,通过动态调试,将解密后的程序从内存中重新转储(dump)。
对转储后的恶意代码进行分析发现,其首先会对PE文件进行修复,随后将PE代码加载到内存中以实现恶意行为。
修复PE

对内存中的PE文件转储(dump)进行分析发现,其为重写版的Cobalt Strike木马。对VMwareXferlogs.exe白加黑样本进行分析发现,其同样为重写版的Cobalt Strike木马。
BOF API
反射内存加载

后门分析
对Cobalt Strike后门进行分析发现,该后门首先判断系统时间是否达到2025年1月16日。若当前系统日期在2025年1月16日之前,则继续执行代码;否则将退出进程。
时间判断

接着,获取系统信息,并利用RSA与AES加密算法对这些信息进行加密,之后发送心跳包。
设置加密算法
获取系统信息
数据加密

随后,通过字符串解密(减去7和乘以16)算法解密配置信息。
字符解密算法
解密配置信息

之后,发送数据,接收回传数据,进行任务处理。
任务处理

该后门功能如下:
任务号与对应功能
获取进程列表
创建管道CMD执行命令
二、附录
C&C:
HASH:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wwwab
发表于 2025-2-27 18:26:49 | 显示全部楼层
本帖最后由 wwwab 于 2025-2-27 18:36 编辑

感觉在偷换概念啊

初始载体:压缩包内的".pdf.lnk"文件(快捷方式),火绒工程师叫做“木马PDF”?


这个".pdf.lnk"快捷方式指向"__image__ \libmultiprocessing.vbs",然后由脚本解释器WScript执行"libmultiprocessing.vbs"之后,执行恶意行为代码的同时启动一个没有什么问题也没有什么实质内容的pdf用来给用户关闭,防止用户起疑心。这个手法hw样本和APT样本也早已经常使用了。

从头到尾就没有什么木马PDF,那是快捷方式,不是PDF。。

  1. 钓鱼攻击通过PDF文档暗投后门病毒
  2. 近期,火绒威胁情报中心检测到恶意钓鱼PDF样本攻击量增多,且个别样本通过伪装成快捷方式和隐藏文件夹的方式进行传播。
  3. 目前,火绒安全产品已具备对该类恶意钓鱼PDF样本的精准识别与拦截能力。
  4. 图3 - 木马PDF
复制代码
这文字游戏玩得太厉害了,我愣是看了半天才看明白这说的是什么

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
火绒工程师
 楼主| 发表于 2025-2-28 10:19:43 | 显示全部楼层
wwwab 发表于 2025-2-27 18:26
感觉在偷换概念啊

初始载体:压缩包内的".pdf.lnk"文件(快捷方式),火绒工程师叫做“木马PDF”?

非常感谢您的提醒和指正,是木马快捷方式哈,这边已对该图注进行修改,后续我们会对文章内容进行更严格的把控
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-4-3 11:09 , Processed in 0.163462 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表