垂纶进击姿态老套,不明真相照样受骗 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

垂纶进击姿态老套,不明真相照样受骗

申博_安全防护 申博 100次浏览 已收录 0个评论

近日,深佩服平安团队捕获到一同高度个性化的垂纶进击事宜,进击者针对用户企业捏造了多份带有专业内容的进击文档,经由过程邮件发送到目标邮箱,希图引诱用户翻开附件中的文档。

经平安专家剖析,该文档其实为带有马脚应用的歹意文件,其应用了一个较老的Office马脚CVE-2012-0158,该马脚常被用于APT进击,一般以RTF文件或MIME文件为载体,影响的浩瀚Office版本。

文档剖析

翻开该文档,内容上没有任何马脚,带有用户企业的页眉图标,内容也非常专业:

不过,外表的假装蒙混不过研究职员的眼睛,经由过程监控行动发明winword.exe运转后建立了一个PE文件rundll32.exe:

历程: c:\program files\microsoft office\office12\winword.exe

目标: C:\Users\root\AppData\Local\Temp\rundll32.exe

因为并没有开启宏功用,因而推断出该文档存在马脚应用,接下来运用windbg附加到winword.exe上举行调试,在kernel32!WinExec处下断点,断下来后检察客栈,发明一条cmd敕令,作用为翻开一个temp目次下的doc文档:

垂纶进击姿态老套,不明真相照样受骗

虽然找到了可疑敕令,但这个行动还不是要找的症结行动,因而单步调试,运转一会后看到一条kernerl32!_lcreat函数的实行,检察客栈发明,建立的文件是在行动监控中看到的rundll32.exe文件:

这里的剖析过程当中其实有一个插曲,当从行动中看到文件建立的行动,在调试时起首想到的就是在CreateFile函数下断点,但并没有中缀下来,所以退而求其次在WinExec函数下了断点,当单步到这里时找到了缘由,shellcode中运用了一个冷门的函数lcreat,而且经由过程参数晓得其建立的文件为隐蔽文件:

iAttribute Long

0——文件可以读写

1——建立只读文件

2——建立隐蔽文件

3——建立体系文件

继承单步可以看到lwrite写文件操纵:

末了再次单步运转到WinExec函数,此处为运转开释的rundll.exe文件,在雷同的目次下可看到开释的文件包含一个清洁的doc文档,和该歹意EXE顺序:

歹意顺序剖析

rundll32.exe文件在行动上具有大批的反平安软件、反剖析操纵,详细以下。

CVE-2019-6177:影响联想设备8年的漏洞

Lenovo Solution Centre(LSC)是Lenovo为Think产品新发布的一款应用软件,该软件可以快速诊断系统健康状况、网络连接、系统安全情况。同时LSC在许多Windows系统的联想设备中都是预装软件。 Pen Test Partners研究人员在LSC软件中发现了一个权限提升漏洞,可以用来在目标系统上执行任意代码,给恶意攻击者Administrator或SYSTEM级权限。 Pen Test研究人员称,该漏洞是一个DACL覆写漏洞

1、遍历根目次查找avast! sandbox途径:

2、查找cuckoo途径:

垂纶进击姿态老套,不明真相照样受骗

3、查找剖析软件历程,包含:

Filemon.exe、Regmon.exe、Procmon.exe、Tcpview.exe、wireshark.exe、

dumpcap.exe、reghost.exe、cports.exe、smsniff.exe、SocketSniff.exe

4、查找杀毒软件历程,包含:

mcagent.exe、ekrn.exe、ccSvcHst.exe、avgui.exe、nis.exe、avfwsvc.exe、coreFrameworkHost.exe、AYRTSrv.aye、360Tray.exe、avgtray.exe、nanoav.exe、avp.exe、msseces.exe、AvastUI.exe、avgnt.exe

5、在wksprt.exe;ctfmon.exe;explorer.exe中挑选一个历程以挂起的体式格局建立,举行长途历程注入:

垂纶进击姿态老套,不明真相照样受骗

6、注入后会在历程内存中开释一个DLL文件并挪用,顺序的主要功用都在DLL文件中,包含自复制到temp目次并在注册表增加自启动:

垂纶进击姿态老套,不明真相照样受骗

7、猎取主机信息发送到C&C服务器(域名已失效,本文运用修正hosts文件的体式格局抓取到传输的数据):

垂纶进击姿态老套,不明真相照样受骗

关于垂纶进击Q&A

Q:什么是垂纶进击?

A:在收集进击中,垂纶进击一般为假装正当机构或职员向目标发送捏造的邮件,引诱目标点击或运转个中的歹意软件,以到达信息盗取、不法取得用户主机权限等目标。罕见的手段有发送马脚应用文档、发送带有歹意宏代码的文档、或发送假装成文档的歹意可实行文件。

Q:那要怎样推断收到的文档是不是为歹意呢?

A:早先的一些垂纶文档组织得较为粗拙,文档内容基本上是一些乱码,随意马虎引发用户的疑心。为了取得目标的信托,进击者最先经由过程社会工程等体式格局收集到与目标相干的一些信息,定制高度个性化的进击邮件。比方本次的进击中,运用的文档内容就完全是用户的文档,很难从内容上推断是不是为歹意,因而发起开启平安软件的及时防护功用,一但下载的附件被报出要挟,就不要随意马虎翻开,先请专业的平安职员举行剖析。

Q:假如已不小心点开了垂纶邮件中的附件,要怎么办呢?

A:假如不小心运转了个中的附件,也不要惊惶,起首要保存原始的邮件,反馈给平安研究职员举行剖析,然后运用平安软件举行通盘查杀,断绝删除下载或开释到主机上的歹意顺序。

解决方案

深佩服平安团队提示人人:不要点击来源不明的邮件附件,不从不明网站下载软件。

原文地点: https://www.4hou.com/web/19928.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明垂纶进击姿态老套,不明真相照样受骗
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址