冒充安恒信息對看雪論壇的一次定向釣魚攻擊

2019-11-05 +8 137376人圍觀 ,發現 5 個不明物體 資訊

釣魚攻擊是網絡犯罪團伙常用的一種手段,很多勒索病毒都曾使用郵件釣魚的方式欺騙受害者打開相應的附件,運行惡意樣本,導致受害者被勒索加密,釣魚郵件攻擊也是APT攻擊的常用手段之一,如果收到陌生的郵件,千萬不要隨便點擊附件鏈接或打開郵件附件中的文件。

中午吃飯看到群里有人發貼子,好像是看雪被釣魚,看雪論壇應該是很多安全從業者的啟蒙論壇,我也是從看雪論壇走出來的,從上面學到了不少東西,認識了不少朋友,非常感謝看雪論壇,竟然被釣魚攻擊了,于是上去看了一下,鋼哥在論壇也發了貼子,公布了郵件信息,從郵件信息上看釣魚攻擊者冒充了安恒信息公司的郵件,如下所示:

1.jpg

兩封郵件附帶的惡意鏈接都是一樣的,如下:

2.png

www.dbappsecurtiy.com/pediy/error.hta

error.hta是一個vbs腳本,內嵌powershell腳本,如下所示:

3.jpg

運行hta腳本之后,調用執行內嵌的powershell腳本,如下所示:

4.png

解密出powershell腳本,如下所示:

5.png

此Powershell腳本與遠程服務器進行通訊,獲取返回數據,捕獲到的流量信息,如下所示:

6.png

解密獲取的PowerShell腳本獲取主機相關信息,與遠程服務器通信,解密出來的PowerShell腳本代碼,如下所示:

8.jpg

捕獲到的網絡流量數據,如下所示:

7.png

再次解密獲取到的PowerShell腳本,如下所示:

14.jpg

該腳本會設置默認的返回數據信息包,如下所示:

9.png

解密出來的返回數據包信息,如下所示:

10.png

與我們上面捕獲到的數據流量包一致,PowerShell腳本通過遠程服務器返回相應的操作指令,如下所示:

11.png

CMD遠程控制指令過程,如下所示:

12.png

通過CMD指令可以遠程獲取主機文件,進程等信息,下載,上傳文件等操作,監控網絡流量數據,如下所示:

13.jpg

這次釣魚定向攻擊,釣魚攻擊者冒充的發件人郵件信息:

[email protected]securtiy.com

很明顯冒充了安恒的郵箱,安恒的郵箱地址后綴是dbappsecurity.com

這應該是一次有目的性,通過釣魚郵件定向攻擊目標,并進行遠程控制的網絡攻擊行為,此次釣魚郵件定向攻擊同樣采用”無文件”攻擊手法,無落地PE文件,郵件附件中只包含一個HTA腳本文件,通過執行HTA腳本調用PowerShell執行所有的惡意操作

現在的釣魚郵件攻擊越來越多,各企業或網站的相關管理人員,一定要擦亮眼睛,以防被釣魚攻擊,不要輕易打開陌生的郵件以及附件。

IOC

584437BC8063B64FB65D2882A7DDBD89

C&C

45.89.175.192

www2.netstorehosting.com

URL

hxxp://www.dbappsecurtiy[.]com/pediy/error.hta

www2.netstorehosting[.]com/login/process.php

www2.netstorehosting[.]com/admin/get.php

www2.netstorehosting[.]com/news.php

*本文作者:熊貓正正,轉載請注明來自FreeBuf.COM

相關推薦

這些評論亮了

  • 大王 回復
    安恒:飛來一口鍋 :mrgreen:
    )18( 亮了
  • hackbar 回復
    安恒:忙上市,沒空釣魚
    )14( 亮了
  • 玄道 回復
    之前安恒的員工表示,安恒的郵箱是英文+.+姓[email protected]+域名,比如說[email protected]
    )7( 亮了
發表評論

已有 5 條評論

取消
Loading...
熊貓正正

微信公眾號:安全分析與研究

30 文章數 16 評論數 2 關注者

特別推薦

推薦關注

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 什么app能玩二人麻将