不知道哪个同事收到了邮件并打开
邮件附属两个doc文件
打开邮件
好家伙、看这个邮件就指定不对劲
马上查一波、发现乃是钓鱼邮件!!!
SHA256:e3939ac53aed2324a1ece27b41dd49218c8f2726a5afa639656c87ce87a36e01
发现其中含恶意宏代码
从宏代码中提取其powershell脚本
经过混淆,不过很明显有http头和webclient。
http://itac2.com/wp-admin/S/http://ie-innovations.com/insetPages/E/http://handlestone.com/shadowbox/R/http://impuls-tech.com/security/Ep/http://intemar2020.com/sites/all/modules/contrib/prod_check/G/http://inessilvanutrition.com/islow.co/J/*http://hochzoll.net/bilder/N/
跟踪此活动时,该地址已无法访问
进程powershell.exe释放一个可执行文件到磁盘上
C:Usersvbccsbr7f8FfSiRoc_vKGbj4dpe9b.exe
该exe具有反沙箱机制
调用API检测系统内存大小、检查适配器地址、检测自身是否正在被调试查看是否存在沙箱内。
Powershell流量请求并发送数据
GET http://itac2.com/wp-admin/S/GET /wp-admin/S/ HTTP/1.1 Host: itac2.com
威胁情报IOC
Creation Time 2020:08:31 21:46:00
发现样本地址
通过地址下载到exe
exe文件执行信息收集并回连到远端服务器
发现C2服务器
SHA256:fc2c6cb3dc87ea43f891caca4af3ad1938add8fff48cf0d39a244cd3a02af4e2
从宏代码中提取其powershell脚本
跟上面一样经过混淆
https://marianbernabe.com/wp-content/j/
https://matsumototravel.com/bild/IH/*http://metapo.com/rma_faq/oc/
http://meconsultores.net/imag/t/
http://massdepiedra.com/images/Ymm/
http://brettfence.com/cgi-bin/Fg/
http://callrealtyaz.com/wp-content/P0Q/
基本上两个doc的攻击手法相识
沙箱运行
1、尝试删除C:UsersaETAdzjzAppDataLocaliashlprconvert.exe( 防御规避掩盖文件的来源)
2、创建进程
C:UsersaETAdzjzR7f8ffsIroc_vkGbj4dpe9b.exe
C:UsersaETAdzjzAppDataLocaliashlprconvert.exe
3、通过API读取网络适配器的地址
4、删除执行的可执行文件C:UsersaETAdzjzAppDataLocaliashlprconvert.exe。
5、通过两个地址下载恶意exe
http://itac2.com/wp-admin/S/
本文始发于微信公众号(Khan安全攻防实验室):对二五仔的一次病毒分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论