突然收到来自于 EDR 的报警,EDR 为自搭建,可参考穷人的核武器《手工打造基于 ATT&CK 矩阵的 EDR 系统
https://www.freebuf.com/articles/system/239107.html
目测有用户激发了 WORD 宏文件,一看路径就明白是由 Outlook 邮件附件引起的
"C:Program Files (x86)Microsoft OfficeOffice16WINWORD.EXE" /n "C:UsersdumyAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.OutlookxxTDEFLFOGX-09120 IFF-092620.doc" /o "u"
追踪过去看看具体情况,发现下级进程为:
C:Windowssystem32wbemwmiprvse.exe -secured -Embedding
父子进程分析经常被防守方用来发现由 Microsoft Office 产生的异常程序,且一般来说如果是恶意宏,一般的进程调用路径为 Outlook->Macro->Powershell 或者 Outlook->Macro->Cmd 等等,而 wmiprvse 进程隶属于 WMI Host,属于系统进程。
这样一看貌似没有什么大事,看上去是正常的,父子进程好像都 Okay。而 Office 宏随着时间的推移,除了越来越复杂的混淆之外,常见的有效载荷其实并没有太大的变化,越来越多的 EDR 已经直接封堵由 Outlook 调用 Word 激发 Powershell 进程链,而本文的这个宏就是通过派生 WMI 进程来规避 EDR 程序对 Powershell 进程的检测。
而实际上,这种手法却越显得很拙劣,凡是 WINWORD/EXCEL 派生出来的 WMI 进程均有问题,直接报警,妥妥的。
联系用户,直接断网,取得样本,一气呵成。本文完。
呵呵,开个玩笑。必须延伸该个体事件为多人运动,防止大范围爆发。
从用户手中取得邮件样本
通过导出邮件头上传到 mxtoolbox.com 对邮件头进行分析后,发现 SPF, DMARC 无一匹配,意味着 99.99% 属于恶意邮件
查看邮件链,找到发送者 IP 地址为 178.79.130.4
使用 CISCO 的 TALOS 进行邮件IP地址信誉值校验
https://talosintelligence.com
可见其信誉值为 Poor
微步在线情报为垃圾邮件
分解出 DOC 附件后将样本上传到 any.run 沙盒,继续追踪样本执行情况
果不其然,沙盒显示 WMI 将派生出新的 Powershell 进程,自此恶意进程跟 WORD 的进程关系链断开,EDR 的监控已经不再连贯
由进程树可以看到 Powershell 将从 C2 服务器上下载恶意载荷,自此,找到第二个恶意地址 71.197.211.156
沙盒跑完后,可以看到混淆加密的 Powershell 文件
经简单 base64 解密后,混淆依然严重
手动分解简单混淆后,代码为 (此处简单更换 +,(,) 即可)
由此,标记所有可疑 C2 下载地址
将 178.79.130.4 和 71.197.211.156,以及所有 C2 链接全部加入防火墙拉黑处理,邮件组搜索完所有邮件受害者,逐一通知并告警后,Case 关闭。
为了验证从 C2 下载的 Xd4r2L.exe 的恶意程序,从 any.run 下载该样本后重新提交沙盒验证
该恶意程序被标记为 Emotet 家族
具体 Emote 家族情况可参考 https://any.run/malware-trends/emotet,截图为写报告加分
样本传至 virscan,目测没有几个能发现病毒
将该样本发送给 AV 厂商升级定义库
翌日,我大 360 已经可以检测出该病毒
自此,恶意邮件所有应急流程收工。
注:本文为公司基础应急工程师运维参考所用,并无高大上技术处理,大牛们莫笑,老狼敬上!
本文始发于微信公众号(信安之路):实战一则钓鱼邮件的应急响应过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论