年轻人不讲武德,居然在简历中藏木马!

admin 2021年4月24日03:04:40评论47 views字数 1629阅读5分25秒阅读模式


神秘邮件

年轻人不讲武德,居然在简历中藏木马!


前几天,公司HR在群里发来了一条消息,说收到一封非常可疑的简历邮件


不枉公司三令五申的信息安全意识培养,咱们的HR小姐姐能有这样的敏锐意识,得给她点个赞!


最近部门确实在进行人员招聘,也进行了大量的招聘宣传,每天都要收到不少的简历邮件,但这封邮件却透露着些许古怪。


邮件的正文没有任何信息,只有一个附件:简历.pdf

年轻人不讲武德,居然在简历中藏木马!

首先,咱们正常人投个简历,怎么着也会在正文中简单介绍一下自己吧?谁会像这样直接留白呢?


其次,附件简历的文件名一般都会包含职位、名字等信息吧?就像小白-安全研发工程师-个人简历.pdf,谁会直接就叫“简历”啊?


沙箱分析

年轻人不讲武德,居然在简历中藏木马!

拿到这个pdf文件,别急着打开,弄到虚拟机沙箱中,看一下这货能不能现出原形。


pdf文件打开一切看起来正常,确实像是一封真实的简历,就连应聘人的需求都是匹配的,但查证后发现,其中的联系方式全都是虚构的,简历内容基本是网络找来东拼西凑+虚构伪造出来的。

年轻人不讲武德,居然在简历中藏木马!

再来看一下样本的行为分析,看看有没有什么可疑的行为。

年轻人不讲武德,居然在简历中藏木马!

我嘞个去!不看不知道,这家伙居然释放了一个程序出来到临时文件夹,然后把它给执行了起来!


去临时文件夹中试图找到这个文件,结果发现文件没了:

年轻人不讲武德,居然在简历中藏木马!

看来这家伙有点能耐啊!


临时写了个脚本,在虚拟机后台运行,不断检测备份临时文件夹下的文件。


再一次跑了一下样本文件,总算把这个释放出来的exe给逮住了。


逆向分析

年轻人不讲武德,居然在简历中藏木马!


接下来送它进反汇编神器IDA,扒掉这家伙的底裤。


打开一看,好家伙,我直呼好家伙!也不加个壳啥的,直接裸奔,连基本的指令优化都没开,这还不给我扒个底朝天。


很快,我发现了一个有意思的地方:

年轻人不讲武德,居然在简历中藏木马!

这货在遍历文件目录,像是在搜索什么东西。


找到文件过滤的地方,这里是一个数组,在遍历寻找数组中的内容。

年轻人不讲武德,居然在简历中藏木马!


接下来,看一下过滤的字符串,高能来了!!!

年轻人不讲武德,居然在简历中藏木马!

居然在找简历、offer、工程师关键字的文件!!!


这是什么骚操作?


后面还有一段逻辑,是检测文件的MD5,防止把自己人“简历.pdf”当做了目标。


拿到文件后呢,接着追溯起来,代码找起来太慢了,还是放沙箱里面抓行为吧。


把这个exe再一次送进沙箱分析,来看一下网络请求。


遗憾的是,并没有发现有网络请求,猜测是没有拿到目标文件所以没有传送?


于是我又构造了一个假的Java研发工程师.pdf文件,来钓钓鱼。


再来一次,果不其然,鱼儿上钩了,这一次抓到了一个网络请求:

年轻人不讲武德,居然在简历中藏木马!

一个神秘的域名DNS解析!限于沙箱的隔离环境,这个请求实际上并没有成功,所以也就没有后续对这个域名的请求了。


遗憾的是,这个域名现在已经关闭了,没法访问,难道是别人先一步发现了吗?


复盘

年轻人不讲武德,居然在简历中藏木马!


案情的全貌浮出了水面:

HR的邮箱收到了一个藏有木马的《简历.pdf》文件,文件打开后会释放并执行一个木马程序xxx.exe(随机名)。


接着木马会遍历磁盘目录,寻找文件名中包含简历、offer、工程师三个关键字的文件。


拿到文件后,会通过网络请求将拿到的文件发送出去!


究竟是谁会做这样的事?细思恐极!




本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。


年轻人不讲武德,居然在简历中藏木马!
安全帮®大讲堂经典回顾


大讲堂—浅析《信息安全保障》

大讲堂—速读《网络安全法》

大讲堂—分布式流处理平台:KAFKA

大讲堂—网络协议安全,这些你不可不知

大讲堂—当威胁检测技术跟上了AI的脚步

大讲堂—企业求生之道:如何有效进行安全风险管理

大讲堂—逆向分析技术知多少?

大讲堂—关于Spark的那些事

大讲堂—浅析Hadoop!

大讲堂—MyBatis简介与入门

大讲堂—LSTM算法原理及应用

年轻人不讲武德,居然在简历中藏木马!


关于安全帮®


安全帮®,是中国电信研究院安全工程研究中心旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系方式:微信公众号留言或联系客服QQ3025437891




年轻人不讲武德,居然在简历中藏木马!

本文始发于微信公众号(安全帮):年轻人不讲武德,居然在简历中藏木马!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月24日03:04:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   年轻人不讲武德,居然在简历中藏木马!http://cn-sec.com/archives/202992.html

发表评论

匿名网友 填写信息