官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

网络安全

攻击者利用垃圾邮件传播远控木马的攻击活动分析

antiylab 2023-02-14 11:24:24 203790

所属地北京

1 概述

近日，哈工大安天联合CERT实验室监测到多起利用垃圾邮件传播远控木马的攻击活动。攻击者通过发送以“订单”、“发-票”、“单据”等为主题的邮件，结合邮件正文诱导用户点击钓鱼链接，从而下载执行恶意文件。钓鱼链接是攻击者将以“订单.rar”、“电子发-票.rar”等名称命名的诱饵压缩包文件上传至文件共享平台生成的分享链接，这种方式可以实现降低自身运营成本、规避溯源、白名单绕过的效果。

诱饵压缩包中包含三个文件，其中.data文件和.exe文件名称一致，一般以“订单”和“电子发-票”为主，而名为“cl32.dll”的文件即为核心恶意文件，攻击者利用白加黑的运行机制诱导目标执行exe文件以加载该dll文件。cl32.dll运行后在内存中解密并执行核心恶意dll，实现连接C2及下载通信模块。通信模块名为“client.dll”，经关联溯源分析，确认该dll文件为某论坛上分享的“通信传输框架”，能够实现多协议通信及数据交互，推测是为C2连接在多协议通信上提供支撑。

从样本分析上看，样本采用易语言编写，基于现有分析结果，确认样本具有远控木马的进程和网络行为特征，具备部分恶意功能；依据相关恶意样本特征，结合通信模块来源论坛的分享内容，研究人员推测本次攻击活动是攻击者恶意利用某论坛分享的工具及技术构造远控木马并通过垃圾邮件进行传播。综合样本分析及溯源结果，结合攻击者使用技术和恶意意图，研究人员认为用户一旦执行本次攻击活动中垃圾邮件传播的远控木马，用户终端将面临远程控制风险和数据泄露风险。

2 本次攻击活动对应的ATT&CK映射图谱

本次攻击活动对应的技术特点分布图：

图 2‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表：

表 2‑1 事件对应的ATT&CK技术行为描述表

ATT&CK阶段/类别	具体行为	注释
初始访问	网络钓鱼	发送垃圾邮件传播远控木马
执行	诱导用户执行	以“电子发-票”为名诱导用户执行
持久化	利用自动启动执行引导或登录	创建快捷方式到系统启动目录中
防御规避	混淆文件或信息	加密dll文件
发现	发现进程	探测防护软件进程
发现	发现系统信息	探测系统版本等信息
数据渗出	使用C2信道回传	连接C2，回传数据

3 防护建议

针对该远控木马安天建议政企机构采取如下防护措施：

识别钓鱼邮件

查看邮件发件人：警惕发送“公务邮件”的非组织的发件人；

看收件人地址：警惕群发邮件，可联系发件人确认；

看发件时间：警惕非工作时间发送的邮件；

看邮件标题：警惕具备“订单”、“票据”、“工资补贴”、“采购”等关键词的标题的邮件；

看正文措辞：警惕以“亲”、“亲爱的用户”、“亲爱的同事”等较为泛化问候的邮件；

看正文目的：警惕以“系统升级”、“系统维护”、“安全设置”等名义索取邮箱账号密码的邮件；

看正文内容：警惕其中附带的网页链接，特别是短链接；

看附件内容：查看前，须使用防毒软件对附件进行病毒扫描监测。

日常邮箱安全使用防护

安装终端防护软件：安装终端防护软件，开启防护软件中对邮件附件的扫描检测功能，定期对系统进行安全检测，修复系统漏洞。

邮箱登录口令：邮箱登录口令设置时确保具备一定复杂性（包含三种字符元素），确保口令不记录于办公区明显位置，定期修改登录口令。

邮箱账号要绑定手机：邮箱账号绑定手机后，不仅可以找回密码，还可以接收“异常登录”的提示短信，即时处置。

重要文件要做好防护：

及时清空收件箱、发件箱和垃圾箱内不再使用的重要邮件；
备份重要文件，防止被攻击后文件丢失；
重要邮件或附件应加密发送，且正文中不能附带解密密码。

敏感信息要保护：不要将敏感信息发布到互联网上，用户发布到互联网上的信息和数据会被攻击者收集。攻击者可以通过分析这些信息和数据，有针对性的向用户发送钓鱼邮件。

3.3 政企机构防护

（1）安装终端防护软件：安装反病毒软件，建议安装安天智甲终端防御系统；

（2）加强口令强度：避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

（3）部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

（4）安天服务：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天7*24小时服务热线：400-840-9234。

经验证，安天智甲终端防御系统（简称IEP）可实现对该远控木马的有效查杀。

图 3‑1安天智甲实现对用户的有效防护

4 邮件分析

垃圾邮件主要利用如“订单”、“发-票”、“单据”等主题，构建邮件正文，并将钓鱼链接嵌入其中，以隐式方式存在（即显示链接与实际链接不一致），显示连接访问后确实为一个发-票文件。

图 4‑1垃圾邮件

钓鱼链接主要以文档共享平台生成的链接为主，具体的文档共享平台有“金山文档”、“网易邮箱大师”、“蓝奏云存储”等。诱饵压缩包存储于多个文档共享平台，生成对应链接，利用垃圾邮件不断发送至目标邮箱，诱使目标点击，下载对应压缩包。

5 样本分析

5.1 诱饵压缩包分析

压缩包中包含三个文件，分别为“电子发-票.exe”、“电子发-票.data”、“cl32.dll”。其中两个可执行程序具备UPX加壳，经分析验证该压缩包中的文件是利用白加黑技术，实现恶意代码执行，具体恶意文件为cl32.dll。

图 5‑1诱饵压缩包文件

5.2 cl32.dll分析

5.2.1 样本标签

表 5‑1 cl32.dll样本标签

恶意代码名称	Trojan/Win32.FlyStudio.a
原始文件名	cl32.dll
MD5	297180F60A3E70896BBE17CCA0E9C501
处理器架构	Intel 386 or later processors and compatible processors
文件大小	640.50 KB (655,872 字节)
文件格式	BinExecute/Microsoft.EXE[:X86]
时间戳	2023-01-09 01:36:31
数字签名	无
加壳类型	UPX
编译语言	易语言
VT首次上传时间	2023-02-06 03:52:36
VT检测结果	22 / 69

5.2.2 动态解密并加载dll

cl32.dll加载后，在内存中解密并加载另一个dll文件，下面以“DLL.dll”为名。

图 5‑2解密并加载dll

5.2.3 下载通信模块

解密加载执行DLL.dll后，读取当前目录下的.data文件，在内存中解密，解密后内容为C2连接地址及通信模块下载地址。

图 5‑3解密C2及通信模块下载地址配置信息

连接该URL下载通信模块。

图 5‑4下载通信模块

5.2.4 进程行为

在通信模块下载后，创建以新拷贝的exe文件为载体的子进程，并结束自身进程。

图 5‑5进程行为

5.2.5 持久化

程序运行后，会创建快捷方式拷贝至启动目录中，实现持久化运行。

图 5‑6在启动目录中创建快捷方式

5.2.6 连接C2地址

通信模块下载成功后，会连接C2，发送上线包。

图 5‑7连接C2

后续不断发送加密信息。

图 5‑8发送加密信息

5.3 client.dll分析

5.3.1 样本标签

表 5‑2 client.dll样本标签

恶意代码名称	Trojan/Win32.FlyStudio.a
原始文件名	client.dll
MD5	77679E51504F2B94565B6E974D29FFFF
处理器架构	Intel 386 or later processors and compatible processors
文件大小	2.40 MB (2,519,040 字节)
文件格式	BinExecute/Microsoft.DLL[:X86]
时间戳	2023-01-10 10:52:55
数字签名	无
加壳类型	无
编译语言	易语言
VT首次上传时间	2023-01-16 15:36:15
VT检测结果	41 / 68