近期中文垂纶邮件进击事宜剖析申报 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

近期中文垂纶邮件进击事宜剖析申报

申博_新闻事件 申博 123次浏览 已收录 0个评论

1、概述

2019年2月起,安天CERT发明大批由境外IP向我国用户邮箱发送的垂纶邮件,邮件主题触及“发票”、“推销”、“定单”等关键字,并且在邮件中包罗一样关键字的歹意附件。经剖析,还发明了大批相干相似的垂纶邮件,但多数以英文“invoice”为邮件关键字。我们以为,该类进击事宜多是环球局限内举行的黑产运动,其针对分歧国度的目的时能够会编写对应言语文字的垂纶邮件。

进击者经由过程邮件流传歹意附件,终究载荷为.Net言语编写并举行殽杂的“NanoCore”[1]远控木马。“NanoCore”是一款功用壮大的长途掌握顺序(RAT),可以或许对目的主机的文件、屏幕、历程等举行操纵,还支撑扩大功用插件。该木马由美国阿肯色州的Taylor Huddleston编写并出卖,该木马作者已于2018年2月被美国政府以建立和贩卖歹意软件罪判入狱33个月[2]。

2、进击剖析

2.1 进击源(发件地点)

针对国内的垂纶邮件重要有两类,一类的邮件主题为:“****推销定单”,附件名:“推销定单.7z”;另一类的邮件主题为“确认_发票****”,附件名:“发票付出.7z”。进击者重要运用[email protected]和[email protected]作为发件地点。经由过程剖析这两个邮箱所属公司网站的注册信息及页面内容来看,两个公司网站均为正当网站,均归属澳大利亚。进击者运用的这两个邮箱,很多是经由过程盗用、冒充或入侵网站后应用的邮箱。

· goldwick.com.au是一家澳大利亚的珠宝批发商网站,现在网站运营一般。

· splashcad.com是一家运营CAD产物的公司,网站地位和注册信息均在澳大利亚,网站状况一般。

2.2 进击目的

该事宜进击的国内目的重要为电商平台、银行、高校等机构。个中收件人的邮箱地点基本是在网上公然过的邮箱,如公司的联络邮箱、客服邮箱、公然的小我邮箱等。这些邮箱疑似经由过程网页爬取而来,推想是大局限的撒网式进击。

3、样本剖析

该事宜相干邮件较多,邮件内容相似,投递的歹意载荷只是称号和哈希分歧,其重要功用行为都完整一致,因而我们提取个中一个典范样本举行剖析。

3.1 样本标签

表 3 1推销定单.exe样本标签:

近期中文垂纶邮件进击事宜剖析申报

3.2 功用剖析

样本是一个.Net顺序,它对局部字符串举行了殽杂。顺序进口点在MyApplication,个中调用了Form09,Form09中解密了资本文件w22B7azvmB2JvCA7N6HIBm8oMX….,该资本文件伪装成Bitmap花样。样本经由过程解密该资本文件,获得另一个.Net顺序并实行,顺序再次解密本身的资本文件,获得终究的NanoCore (1.2.2.0)版本的远控木马。。

近期中文垂纶邮件进击事宜剖析申报

图 3 1顺序进口点MyApplication

近期中文垂纶邮件进击事宜剖析申报

图 3 2加密的资本文件

解密并运转资本文件的详细流程以下:

近期中文垂纶邮件进击事宜剖析申报

图 3 3解密资本文件

解密算法为轮回异或流动key:

近期中文垂纶邮件进击事宜剖析申报

图 3 4解密算法代码

从资本文件中提取出来的obj是一个.Net顺序,原名CyaX.exe,样本标签以下:

表 3 2CyaX.exe样本标签:

近期中文垂纶邮件进击事宜剖析申报

CyaX.exe运转后,再次解密本身资本文件YI3KSdM,获得NanoCore远控木马的PE文件,以后经由过程剖析PE文件花样,获得进口点并实行:

近期中文垂纶邮件进击事宜剖析申报

图 3 5 CyaX.exe反编译代码

域渗透——普通用户权限获得DNS记录

0x00 前言 在之前的文章《域渗透——DNS记录的获取》介绍了域渗透中获得DNS管理员权限后获取DNS记录的方法,而更普遍的情况是只有域普通用户的权限,也需要获得DNS记录。 本文将会参考公开的资料,整理域普通用户获得DNS记录的方法,修复dns-dump.ps1在高版本Windows系统下的bug。 0x01 简介 本文将要介绍以下内容: · 实现原理 · 开源的工具和方法 0x02 实现原理 1.SharpAdidnsdump的实现原理 先通过LDAP查询获得域内计算机的名称,再通过DNS查询获得对应的IP。 详细实现细节可参考: https://github.com/b4rtik/SharpAdidnsdump 测试环境: test.com (1)通过LDAP查询获得域内计算机的名称 对应LDAP的查询参数如下: LDAP://test.com/DC=test.com,CN=microsoftdns,DC=DomainDnsZones,DC=test,DC=com
(&(!(objectClass=DnsZone))(!([email protected]))(!(DC=*arpa))(!(DC=*DNSZones))) (2)通过DNS查询获得域内计算机对应的IP 使用Dns.GetHostEntry方法,参考资料: https://docs.microsoft.com/en-us/dotnet/api/system.net.dns.gethostentry?redirectedfrom=MSDN&view=netframework-3.5#System_Net_Dns_GetHostEntry_System_String_ 2.dns-dump的实现原理 先通过LDAP查询

vjYpuWOAjMO8sjLffqr4ri2是对YI3KSdM解密后,获得的PE文件:

近期中文垂纶邮件进击事宜剖析申报

图 3 6 资本解密函数

解密函数的算法与图3-4一样:

近期中文垂纶邮件进击事宜剖析申报

图 3 7解密算法与第一次解密雷同

对YI3KSdM解密后,就会获得Nanocore Client.exe远控木马, 它被作为参数层层通报,终究在以下地位对它举行PE剖析,找到进口点实行。

近期中文垂纶邮件进击事宜剖析申报

图 3 8解密后的Nanocore木马

终究的Nanocore顺序代码经由完整殽杂以匹敌逆向剖析。经由过程原始项目称号可以或许看到木马版本号为1.2.2.0,木马终究衔接长途C2:194.68.59.60:717。

近期中文垂纶邮件进击事宜剖析申报

图 3 9解密后的NanoCore远控木马反编译代码

3.3 植入特性

被植入此木马的机械会涌现以下文件特性:

1.在“%AppData%”目录下建立以本机GUID定名的文件夹,然后在该文件夹下建立两个子文件夹和几个文件。个中一个文件夹的定名随机天生,如“DHCP Manager”或“DSL Service”或“Manager”等,另一个文件夹为“Logs”。

2.复制样本本身到的“DSL Service”文件夹下,重定名为“dslsv.exe”,并在注册表中增加启动项,设置该顺序开机自启动。

近期中文垂纶邮件进击事宜剖析申报

图 3 10沾染特性——衍生文件

3.“Logs”文件夹下会天生以以后登录用户定名的子文件夹,在该文件夹下有一个伪装成Windows更新日记文件的 KB_xxxxx.log ,此文件用来纪录用户键盘输入的数据信息。

近期中文垂纶邮件进击事宜剖析申报

图 3 11键盘纪录存储文件

4.按期实验衔接C2服务器194.68.59.60:717,衔接胜利后吸收指令举行响应操纵。

3.4 NanoCore RAT

NanoCore是一个.Net framework 编写的RAT,初次涌现于2012年,以后最新版本为1.2.2.0。NanoCore RAT的功用非常壮大,它可以或许实行多种歹意操纵,好比:文件操控、注册表编纂、历程掌握、文件传输、长途敕令实行、键盘纪录、口令规复等。

近期中文垂纶邮件进击事宜剖析申报

图 3 12NanoCore掌握端界面

4、联系关系剖析

进击者运用的C2服务器为194.68.59.60,经由过程联系关系剖析发明新的样本和域名,经剖析确认与此事宜属于统一组织/行为所为,这些样本应为通用性环球局限流传的样本(英文文件名),从样本的天生时候和域名的剖析时候可以或许看出该组织的进击行为在延续活泼;从文件称号来看,其进击运动多是普适性(传统邮件垂纶)而不是针对性的。

表4-1 相干域名:

近期中文垂纶邮件进击事宜剖析申报

表4-2 相干样本:

近期中文垂纶邮件进击事宜剖析申报

5、小结

此系列进击事宜虽然与传统垂纶邮件进击手段相似,但其对国内的进击目的零丁组织了中文内容和文件名,且投递的样本是功用壮大的远控木马,进击胜利后能够会发生严重威胁。同时须要我们小心的是,不消除该事宜能够像“乌克兰停电事宜”[3]一样接纳“黑色能量”作为后续进击的前期预置环节,我方应予以注重,做好排查提防事情,严防后续进击。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明近期中文垂纶邮件进击事宜剖析申报
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址