【恶意文件】钓鱼邮件通过恶意压缩文件传播远控木马

攻击者采用对.lnk文件赋值特殊目标路径的方式，将包含“cmd”的命令写入，以自动执行预制恶意命令。当受害者点击恶意lnk文件后，将自动复制当前目录下的恶意zip文件到敏感目录，解压后并执行恶意脚本文件，随后启动远控木马SawRAT。

恶意lnk文件

受害者将zip附件从电子邮件下载并解压后，将释放一个隐藏的文件夹“a”和一个带有恶意指令的lnk文件。

攻击者将恶意命令存放至lnk文件的目标路径中：

该段命令旨在将目录下的“files.zip”文件分别复制到%TEMP%目录以及默认下载目录，随后进入%TEMP%目录并解压“files.zip”，并执行隐藏文件夹“a”下的“jp.js”文件。

恶意JS文件

恶意JS文件“jp.js”文件被执行后，旨在执行更深层目录下的“jpackage.pdf”，并调用java执行“jpackage.jar”文件，该jar文件即为远控木马SawRAT。其中PDF文件受到密码保护，用以迷惑受害者，猜测密码应在钓鱼邮件中体现。

远控木马SawRAT

远控木马SawRAT由Java编写，拥有屏幕截图、文件上传、任意命令执行等功能，方便攻击者对受控目标主机执行任意操作，对受害者隐私产生较大威胁。

在主函数Main中，调用内部的FrameMain中的show函数，该函数创建一个指定大小并进行隐藏的JFrame，随后启动一个新的进程运行MSocket类的实例。

在该实例中，远控木马将创建一个Socket并连接C2地址，并进入一个大循环，接收指定命令并执行相应的操作。

下表展示每一个命令所对应的执行操作：

13C01534896246365DBBB625D8DBCBF4

9ACD010A980719F738CE561CCB127384

15957E06AEAD7D907972842D803F6471

144.91.112.130:6023

1. 避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。

2. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，并接入深信服安全云脑，及时查杀新威胁；

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。