社会工程学 | 钓鱼邮件恶意样本分析

admin 2023年5月25日03:13:52评论51 views字数 705阅读2分21秒阅读模式


声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。



今天是个大晴天,一个朋友发我一个eml钓鱼样本,我协助分析了一下,打开文件内容:


社会工程学 | 钓鱼邮件恶意样本分析

         

发件人:[email protected]

收件人:X人

邮件内容如下所示:


社会工程学 | 钓鱼邮件恶意样本分析

         

将邮件附件通过base64编码解密,使用压缩包密码********打开,可以看到一个word和一个exe可执行文件:

社会工程学 | 钓鱼邮件恶意样本分析

         

此处存在一处可疑地方:压缩包文件大小是800kb,减压后文件大小为36kb,猜测存在隐藏文件的情况,通过压缩包可以查看存在的文件一共是4个文件

社会工程学 | 钓鱼邮件恶意样本分析

         

也可以通过windows系统指令“dir /a”,查看存在隐藏文件:DumpStack.log和vmtools.dll

社会工程学 | 钓鱼邮件恶意样本分析

         

取消隐藏受保护的操作系统文件,查看隐藏文件

社会工程学 | 钓鱼邮件恶意样本分析

         

         

将上述文件重新打包,上传到微步沙箱重新分析,可以发现存在恶意行为。

社会工程学 | 钓鱼邮件恶意样本分析

         

恶意外联地址为阿里云一台VPS主机,IP地址为xx.xx.xx.xx

   社会工程学 | 钓鱼邮件恶意样本分析


特别说明:
attrib file_name +s +h //将文件设置为系统受保护文件+隐藏,这样默认情况下,用户打开时文件夹夹就比会被轻易发现。

社会工程学 | 钓鱼邮件恶意样本分析

          

▎经典文章精选

渗透测试 | 攻击面信息收集
环境搭建 | CTFd动态靶机搭建笔记
权限提升 | suid提权及修复方式
近源渗透 | 使用Aircrack-ng破解wifi密码
神兵利器 | 自动化钉钉推送主机端口信息!


社会工程学 | 钓鱼邮件恶意样本分析

扫描下方 二维码 加入我们吧!

社会工程学 | 钓鱼邮件恶意样本分析

原文始发于微信公众号(betasec):社会工程学 | 钓鱼邮件恶意样本分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月25日03:13:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   社会工程学 | 钓鱼邮件恶意样本分析https://cn-sec.com/archives/1756388.html

发表评论

匿名网友 填写信息