太长不看版
攻击者利用SEO优化的Tor浏览器钓鱼,利用了超级解霸的白利用DLL劫持技术进行防御规避。下载时注意域名~注意辨别相似度极高的钓鱼域名
一、背景
在bing搜索“tor browser”时出现一个钓鱼页面
结果发现解压出现CRC错误,正常来说官方文件不应该出现这样的错误,感觉有点不对劲..
再看看解压出来的文件,一个exe文件一个莫名其妙的文件。
二、简单分析下样本
记事本打开“23102024“这个文件。这开头就是非常明显的PE头了,这很不对劲了。。
直接丢某沙箱看看,全绿,倒也意料之中了…因为这个文件是需要操作的安装包,沙箱无法触发行为。
前面已经判断过了23102024是个PE格式的文件。用DIE检测下,确实是个DLL。
改下后缀看,还是个有签名的文件,看来主要的恶意代码在这个exe文件中。
2.1 安装执行
沙箱指望不上了,丢自己的虚拟机跑下,下面是执行页面展示的内容。
安装过程用proncessmonnitor看下进程树,发现cmd执行了命令,这个脚本里是将释放的dll删除了,不过把或者dll丢进沙箱看也不是什么恶意的。
安装完之后,看桌面上的lnk文件指向的是一个可执行文件。
看起来这个文件没什么问题,看来有可能是白利用了。
2.2 白利用的分析
CVftshadwier文件除了同目录下的sqlite.dll文件利用之外,就是导入了crt.dll的函数。
接下来挨个看看这些引入的函数内容,结果发现除了序号3中是代码外,其余都是返回MessageBox的形式。
下面是crt.dll序号3的函数伪代码。不过到这基本也能判断是个恶意的代码了。
直接丢沙箱看看,这个文件倒是可以检测出来。
2.3 下载链接情报
三、钓鱼网页分析
点进主页,可以说非常像
但是这块有些不和谐的地方,选择语言菜单栏被遮住。
下图是官网
其次再看下载页面,分析前端代码发现这个钓鱼页面。“下载Windows“的超链接与签名超链接都是指向钓鱼文件(zip格式)的URL。(这么着急让人下载文件是吧
而正常文件下载时是分别指向exe文件和asc文件。
除了下载页面,其余页面都指向的是官方的URL,所以隐蔽性也非常高。
四、总结
攻击者基于SEO优化的方式搞了一个跟torproject非常相似的域名进行钓鱼,相对于其他纯静态无法交互的页面,迷惑性非常高(甚至我差点都中招了,从威胁情报看到域名的注册者是中文名,或许是来自黑灰产的攻击吧。
原文始发于微信公众号(OSINT情报分析师):利用SEO优化的Tor浏览器钓鱼
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论