概述
近期发现有黑客团队通过邮件投递木马病毒,攻击过程伪装常用软件下载页面。在必应搜索引擎进行投流量,增加搜索权重,诱导用户进行下载。
背景:该团伙通常使用搜索引擎和微信聊天工具进行病毒投递,关联的木马病毒可能。
定性:通过分析发现病毒样本与银狐很相似。
攻击类型:搜索引擎投毒。
关联标签:银狐、黑猫、金眼狗、APT-Q-27、Miuuti Group、谷堕大盗、游蛇。
事件背景
在宁静的海滨小城,龙傲天经营着一家颇具规模的贸易公司,每日周旋于订单、物流与财务账目之间,日子虽说忙碌,倒也平稳。一个寻常午后,公司财务专员苏小曼神色匆匆闯进龙傲天办公室,手里紧攥着平板电脑,满脸焦急地说道:“龙总,刚收到一封奇怪的邮件,主题是‘税务稽查通知书’,看着怪吓人的。”
龙傲天心头一紧,在生意场上,税务问题向来重中之重,容不得半点马虎。他赶忙让苏小曼打开邮件,只见那邮件格式规整,行文乍一看颇具官方口吻,严正声明公司税务申报存疑,需即刻点击附件链接“https://swzjxt.com/file/2”,下载详细稽查文件并按要求填写反馈,逾期将面临严惩。措辞间的紧迫感,让龙傲天手心都沁出了汗。
苏小曼有些犹豫:“龙总,这会不会有问题呀?可万一是真的税务核查,耽误了也麻烦。”龙傲天思索片刻,想着以往税务部门偶尔也会线上通知事宜,被紧张情绪裹挟,咬咬牙说:“先下载看看,要是真有问题咱抓紧处理。”
鼠标轻点,链接跳转,下载进度条缓缓推进,办公室里安静得只剩电脑主机轻微的运转声。此刻,在城市边缘一处废弃工厂改装的“秘密据点”里,一群身形隐匿在兜帽与黑暗中的黑客正紧盯屏幕,屏幕上不断闪烁着像龙傲天公司这样上钩者的IP地址与设备信息,嘴角露出狡黠冷笑,他们便是近来在暗网中声名狼藉的“银狐”,惯于利用人们对官方事务的敬畏心理,设下这类“钓鱼陷阱”。
待龙傲天公司电脑完成下载并自动执行安装程序,起初一切仿若正常。可没过半小时,公司内部网络瞬间瘫痪,财务系统数据疯狂闪烁、扭曲,机密账目信息似脱缰野马般流向未知暗处,办公电脑纷纷蓝屏死机,员工们一阵惊呼,整个公司乱作一团。
在焦虑与慌乱中踱步片刻后,龙傲天脑海里突然闪过一个人——小王,一位在网络安全领域深耕多年的老友,两人相识于大学时代的编程社团,多年来虽各自忙碌,可情谊深厚,每逢行业聚会还能把酒言欢、畅聊技术前沿。
龙傲天赶忙拨通小王的电话,声音带着几分焦急:“兄弟,我这儿出大乱子了,公司电脑跟疯了似的,像是被黑客盯上了,你快帮我瞅瞅咋回事!”小王二话不说,通过远程协助接入公司系统,屏幕那头的他眉头紧锁,十指如飞般操作着各种检测工具,一行行复杂代码与数据在眼前滚动。随着分析深入,小王的脸色愈发凝重,许久后,他长叹一声说道:“老薛,你们这是中了“银狐木马”的招了,这玩意儿可刁钻得很,专搞钓鱼攻击。黑客应该是精心炮制了一批看着特靠谱的邮件,伪装成行业展会邀请函、热门软件更新通知啥的,里面藏着能悄悄下载木马的链接,只要有人手滑一点,它就神不知鬼不觉潜入,把你们的系统搅得天翻地覆,窃取机密信息那是分分钟的事儿。”
得知病因,龙傲天心里更慌了:“兄弟,那现在咋整啊,公司这么多项目资料、客户数据,可不能就这么毁了!”小王立刻给出应对方案:“当务之急,第一时间把所有涉事机器断网,让木马断了和外界的联系,不能再让它往外传数据或者接收黑客的破坏指令了;紧接着,组织人手把重要资料,像项目策划书、代码库、客户联系表这些,统统备份到移动硬盘或者云端存储,确保数据安全。等这两步做完,马上重装系统,把木马连根拔掉,这才能让电脑恢复干净。”
龙傲天依照小王所言,迅速召集同事分工行动。技术人员负责断网、操作备份流程。一番争分夺秒的忙碌后,系统重装完毕,电脑重启,熟悉而平稳的开机界面出现,办公室里压抑许久的氛围终于缓和了些许。
小王在视频通话里郑重提醒道:“老薛,这次算是侥幸过关,可网络攻击的风险以后还多着呢。要想长治久安,得定期搞钓鱼演练,模拟各种黑客钓鱼手段,把员工的防范意识提上去,比如时不时发个伪装成内部福利通知、合作方紧急需求的假邮件,看看谁会上钩,之后再集中培训,让大家熟悉各类陷阱套路,这样才能在源头上挡住黑客的‘暗箭’。”
样本分析
文件名 |
Setup.rar |
Sha256 |
4d4e1757ce0b40782c5172543dd2889034b307fb48dbd8bb1e5435e020703f22 |
Md5 |
75ff073c02a182a92dc974626773f29c |
文件类型 |
rar |
文件大小 |
23.86MB |
事后小王拿到木马进行深入分析木马执行后释放7ze.exe文件解压Googel.7z
C:Windowssystem32cmd.exe /c C:WindowsSysWOW64msresSetup.bat
执行“Setup.exe /Serv”命令创建服务
执行命令“Setup.exe /InstallC”,通过cacls修改系统文件权限
cacls c:windowssyswow64msreslog /G system:f everyone:f
cacls c:windowssyswow64msreslogOutFile /G system:f everyone:f
cacls c:windowssyswow64msreslogOutFileFile /G system:f everyone:f
cacls c:Program FilesCommon Filesytcommon /G system:f everyone:f
cacls c:windowssyswow64msres /G system:f everyone:f
并且木马运行,服务进程回连远程地址
206.238.220.75:6679
206.238.220.75:6671
206.238.220.75:6681
还存在持久化操作,会创建服务“MANC”,文件路径:C:Windowssystem32MANC.exe。让计算机重启后木马病毒还能持续运行
安装winpcap
创建可执行文件
%Temp%*randomPath*7ze.exe
%Temp%*randomPath*Windowssedisk.sys
%Temp%*randomPath*WindowsSysWOW64MANC.exe
%Temp%*randomPath*WindowsSysWOW64MsgTrack.dll
%Temp%*randomPath*WindowsSysWOW64msres7z.dll
%Temp%*randomPath*WindowsSysWOW64msres7z.exe
%Temp%*randomPath*WindowsSysWOW64msres7zSD.sfx
%Temp%*randomPath*WindowsSysWOW64msres8021xClient.dll
%Temp%*randomPath*WindowsSysWOW64msresAdoBase.dll
%Temp%*randomPath*WindowsSysWOW64msresAnsiDLL.dll
%Temp%*randomPath*WindowsSysWOW64msresAssistantThC.dll
%Temp%*randomPath*WindowsSysWOW64msresAuditorViewWaitList.exe
%Temp%*randomPath*WindowsSysWOW64msresavcodec-57.dll
%Temp%*randomPath*WindowsSysWOW64msresavdevice-57.dll
%Temp%*randomPath*WindowsSysWOW64msresavfilter-6.dll
%Temp%*randomPath*WindowsSysWOW64msresavformat-57.dll
%Temp%*randomPath*WindowsSysWOW64msresClientTool.exe
%Temp%*randomPath*WindowsSysWOW64msresEncryptGUI.exe
%Temp%*randomPath*WindowsSysWOW64msresFSHost32.exe
%Temp%*randomPath*WindowsSysWOW64msresFSHost64.exe
%Temp%*randomPath*WindowsSysWOW64msresGenEwm.exe
%Temp%*randomPath*WindowsSysWOW64msresimagex.exe
%Temp%*randomPath*WindowsSysWOW64msresnetft.sys
%Temp%*randomPath*WindowsSysWOW64msresnetftxp.sys
%Temp%*randomPath*WindowsSysWOW64msresprotectfadisk.sys
%Temp%*randomPath*WindowsSysWOW64msresprotectfadisk_x64.sys
%Temp%*randomPath*WindowsSysWOW64msresprotectFASTMNT.sys
%Temp%*randomPath*WindowsSysWOW64msresprotectFASTMNT_x64.sys
%Temp%*randomPath*WindowsSysWOW64msressedisk.sys
%Temp%*randomPath*WindowsSysWOW64msressgfp.sys
%Temp%*randomPath*WindowsSysWOW64msresvfsd_fre_win10_AMD64.Sys
处置建议
1、建议对IOC列表进行封禁
2、对系统关键证据进行提取,并重装系统
IOC
URL:
https://swzjxt.com/file/2
206.238.220.75:6679
206.238.220.75:6671
206.238.220.75:6681
IP:
103.193.151.218
Sha256:
4d4e1757ce0b40782c5172543dd2889034b307fb48dbd8bb1e5435e020703f22
PDNS:
2024/10/12 |
www.shuiwuzc.com |
2024/10/10 |
shuiwuzc.com |
2024/10/10 |
www.swzjxt.com |
2024/10/6 |
dzfpxz.com |
2024/10/6 |
www.dzfpxz.com |
2024/10/6 |
swzjxt.com |
2024/9/20 |
jcc12366.com |
2024/9/20 |
zjcxgov.com |
2024/9/20 |
swza12366.com |
2024/9/20 |
cxc12366.com |
2024/9/7 |
swccxz.com |
2024/9/7 |
swjczc.com |
2024/9/7 |
texsas.info |
2024/9/7 |
zzwzg.com |
2018/1/9 |
1.dongwan121.cn |
2017/8/27 |
www.sctvm.com |
2016/3/15 |
xingcai00.com |
原文始发于微信公众号(无限手套Infinity Gauntlet):邮件安全闲聊@3、税务稽查主题钓鱼分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论