社会工程学 | 钓鱼邮件恶意样本分析

VSole2023-05-26 10:28:21

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。

今天是个大晴天,一个朋友发我一个eml钓鱼样本,我协助分析了一下,打开文件内容:

     

发件人:zhaxxxxxx@163.com

收件人:X人

邮件内容如下所示:

     

将邮件附件通过base64编码解密,使用压缩包密码********打开,可以看到一个word和一个exe可执行文件:

     

此处存在一处可疑地方:压缩包文件大小是800kb,减压后文件大小为36kb,猜测存在隐藏文件的情况,通过压缩包可以查看存在的文件一共是4个文件

     

也可以通过windows系统指令“dir /a”,查看存在隐藏文件:DumpStack.log和vmtools.dll

     

取消隐藏受保护的操作系统文件,查看隐藏文件

     

     

将上述文件重新打包,上传到微步沙箱重新分析,可以发现存在恶意行为。

     

恶意外联地址为阿里云一台VPS主机,IP地址为xx.xx.xx.xx

  

特别说明:

attrib file_name +s +h //将文件设置为系统受保护文件+隐藏,这样默认情况下,用户打开时文件夹夹就比会被轻易发现。

      

钓鱼邮件社会工程学
本作品采用《CC 协议》,转载必须注明作者和本文链接
近日,瑞星威胁情报平台捕获到两起针对韩国发起的APT攻击事件,通过与以往感染链的对比分析发现,此次事件的攻击者为APT37组织。该组织将恶意文件伪装成压缩包,通过邮件发送给受害者,一旦受害者双击打开快捷方式,便会下载RokRat远控后门,遭到信息被窃、远程控制等攻击。
勒索即服务大行其道,威胁横移时间减少67%
今天是个大晴天,一个朋友发我一个eml钓鱼样本,我协助分析了一下,打开文件内容:
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大
通过威胁情报碰撞邮件附件MD5信息和恶意URL信息,并对可疑的文件投放到沙箱中进行动态检测,基于威胁情报和沙箱行为的威胁评级模型进行判定,产生告警信息投递到消息队列系统中,同时在运营平台生成告警工单。如发现高危钓鱼邮件样本,则第一时间由分析人员跟进深度安全分析,对内网资产进行威胁判定和应急处置工作。
近几年,各国 APT 组织的攻击活动主要围绕定制化的钓鱼邮件,通过邮件中各类恶意附件文件达成攻击目的。整体而言,钓鱼文档存在易检测、易拦截、易溯源的固有问题,但由于技术门槛较低、投入回报比较高,各国 APT 组织依然依靠恶意文档提供基本面的攻击能力,为更高精度的定向攻击提供情报基础。
《报告》不仅总结了APT攻击技术发展和重点攻击目标,还分别针对伏影实验室披露的国内外APT攻击活动进行了详细分析,总结了2021年度APT攻击活动的特征,并根据分析结果提出了预测和防范建议。
无文件钓鱼是将社会工程学与无文件攻击相结合的高级网络攻击手段,是近几年真实攻击事件和攻防演练案例中利用频率最高也是最容易成功的一类攻击手段,最常见的就是利用大家对疫情的高度关注、利用大家对八卦信息的猎奇心理等。技防主要是通过部署邮件安全网关、邮件防泄漏等措施应对邮件威胁。同时,立足邮件安全综合防护需要,安芯网盾配合公安一所开发了邮件安全联防预警系统M01。
据APWG最新发布的报告显示,2022年第一季度检测到超过100万次网络钓鱼攻击,创下季度历史新高。就在上周,西北工业大学公告称,来自境外的黑客团伙与不法分子向师生发送包含木马程序的钓鱼邮件,企图窃取邮件数据和个人信息,严重影响了教学秩序。
Microsoft正在跟踪针对企业的正在进行的Office 365网络钓鱼活动,这些攻击能够检测沙盒解决方案并逃避检测。活动背后的威胁参与者利用重定向器URL来检测来自沙箱环境的传入连接。微软继续通过其官方帐户发布的一系列推文继续其发展。微软指出,其用于Office 365的Defender产品能够检测网络钓鱼和其他电子邮件威胁,并将威胁数据跨电子邮件和数据,端点,身份和应用程序进行关联。
VSole
网络安全专家