freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

一封伪冒中国银行的攻击邮件的简要分析
cgf99 2022-06-07 18:48:02 278550
所属地 福建省

一、大概背景

早上收到一封邮件,显示为:中国银行的银行转账通知。 (MT-103 雨燕),如下图所示:

1654597623_629f27f72febf51f7a506.png!small?1654597622649

直接双击打开附件,ISO文件加载后,显示内容为一个伪造成PDF文件的EXE可执行文件,如下图所示:

1654597641_629f28090cf07cd5e9a2f.png!small?1654597640304

该exe文件除了将图标伪造成PDF外,还伪造了EXE文件属性为:Firefox,如下图所示:

1654597656_629f2818e1bc3307cf920.png!small?1654597656344

更详细信息如下:

1654597671_629f28273ff65ac0eb64b.png!small?1654597670720

攻击手法和形式和前几天收到的雷同,具体可参加:一封伪冒工商银行的攻击邮件的简要分析 - FreeBuf网络安全行业门户

邮件伪造中国银行邮箱:info@boc.cn发送。

实际邮件通过huemul.ffyb.uba.ar发出,ffyb.uba.ar是布宜诺斯艾利斯大学药学和生物化学学院的域名。

1654597716_629f28540dd7384ef2738.png!small?1654597715780

二、PE分析情况

Bank of China_Payment_Copy_Xerox Scan_Pdf.exe执行后,首先访问:http:// soprocerto.pt /new/Vyckdayq_Ardozkwt.bmp, 发送的HTTP报文抓包如下图所示:

1654597894_629f2906cadf888bd6ce7.png!small?1654597894293

同样的,该url字符串直接可在EXE静态文件中找到:

1654597908_629f291475b70f1d2e672.png!small?1654597908169

反汇编代码:1654597921_629f2921314b5fd4da6e8.png!small?1654597920425

通过上一篇内容的分析,我们看到本次下载的BMP还依然是一个EXE文件的倒序,直接查看下载的数据,拉到底部,可以很容易看出是一个PE头的倒序:

1654597950_629f293e1c2f0e57e1b40.png!small?1654597949451

直接访问:http://soprocerto.pt/new/,则会列出该目录下所有文件,显示为3个图片文件,其实都是EXE文件的倒序,恶意文件的生成时间为:6月5日和6日,如下图所示:

1654598001_629f29711c369e972a3fb.png!small?1654598000558

6月8日再次访问该url,发现多了两个文件,说明攻击者持续在更新攻击样本

1654653510_62a00246a3ff62afa1b0e.png!small?1654653509612

我们来看看反汇编代码,验证一下是否为倒序存放:

首先,调用City类的vipd,用于下载http://soprocerto.pt/new/Vyckdayq_Ardozkwt.bmp

1654598023_629f2987c1cc1ab64fe8b.png!small?1654598023159

接着,qeat函数调用System.Net.WebClient直接下载:

1654598057_629f29a935012b58753c9.png!small?1654598056580

然后,调用Country类的hpai函数,将下载的BMP数据进行倒序操作:

1654598078_629f29bee30b044255d74.png!small?1654598078225

转化成代码如下:

1654598091_629f29cbbd52d92f4954d.png!small?1654598091182

最后,利用Assembly.Load加载倒序后的PE文件:

1654598111_629f29df5a1c34318a450.png!small?1654598110637

执行后,会在%temp%目录下生成:Mnyxtqwntaqzvqbubhuconfast1.exe

Mnyxtqwntaqzvqbubhuconfast1.exe是一个受害主机信息收集、发送的木马程序,会将受害主机的信息通过SMTP协议发送,连接的SMTP服务器是:mail.pharmadent.com.uy,端口是:587,IP为:170.249.205.194。1654599258_629f2e5a6b47f936b13ad.png!small?1654599257587

具体的SMTP访问数据如下图所示:

1654599496_629f2f482b0699f06654d.png!small?1654599495418

SMTP解析如下:

1654598233_629f2a59b9f6dfc03ba39.png!small?1654598233575

发送的邮件内容是受害主机的信息(测试机器内容很少),比如主机名、OS系统信息、CPU、内容、IP地址等。

和前一篇文章一样,攻击者最终的接收邮箱地址依然是:contacto@filtrosdys.com。只不过发送邮箱变成:gustavoaniano@pharmadent.com.uy,通过SMTP报文获取的账户和密码,可以直接登陆访问gustavoaniano@pharmadent.com.uy邮箱。

三、小结

IOCS:

1、文件

文件名称

大小

MD5 HASH

备注

Ktyij_Srfqefve.png

940,032

a8a6798a4c1c3cb824032230eb088429

Exe倒序

Vyckdayq_Ardozkwt.bmp

895,488

17f1ccb5b199866f68aac90656f4a98d

Exe倒序

Emqgfdkel_Ugyidrpi.png

896,000

18a877a85f2cc421602937b3a7498649

Exe倒序

Obppbo_Nkyjgkog.png

676,352

a5007c2c6750a920b476976968f204e8

Exe倒序

Uroyyy_Uvxiesxn.bmp

751,616

13107b7cd07c910910f7b3ba3c254b2f

Exe倒序

Bank of China_Payment_Copy_Xerox Scan_Pdf.exe

76,288

9d24698102c0f74f296f69776f3b8616

伪装成PDF的钓鱼EXE

Mnyxtqwntaqzvqbubhuconfast1.exe

213,504

40c281ed76a0bfe96418fb5dc0e19f15

木马程序

2、URL

最终信息汇聚的邮箱(攻击者拥有):contacto@filtrosdys.com

受害主机信息发送邮箱:gustavoaniano@pharmadent.com.uy:mail.pharmadent.com.uy

下载URL:http:// soprocerto.pt /new/Vyckdayq_Ardozkwt.bmp

# 黑客 # 网络安全技术
本文为 cgf99 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
cgf99 LV.5
这家伙太懒了,还未填写个人描述!
  • 22 文章数
  • 27 关注者
一封钓鱼欺骗邮件分析,看看到底是谁在偷偷的关注你
2023-04-24
一封RTF攻击邮件分析,CVE-2017-11882 NDAY真耐用
2023-04-07
一封伪造电子发票的邮件攻击事件分析
2023-04-06
文章目录