freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

冒充安恒信息对看雪论坛的一次定向钓鱼攻击
2019-11-05 17:30:19
所属地 广东省

钓鱼攻击是网络犯罪团伙常用的一种手段,很多勒索病毒都曾使用邮件钓鱼的方式欺骗受害者打开相应的附件,运行恶意样本,导致受害者被勒索加密,钓鱼邮件攻击也是APT攻击的常用手段之一,如果收到陌生的邮件,千万不要随便点击附件链接或打开邮件附件中的文件。

中午吃饭看到群里有人发贴子,好像是看雪被钓鱼,看雪论坛应该是很多安全从业者的启蒙论坛,我也是从看雪论坛走出来的,从上面学到了不少东西,认识了不少朋友,非常感谢看雪论坛,竟然被钓鱼攻击了,于是上去看了一下,钢哥在论坛也发了贴子,公布了邮件信息,从邮件信息上看钓鱼攻击者冒充了安恒信息公司的邮件,如下所示:

1.jpg

两封邮件附带的恶意链接都是一样的,如下:

2.png

www.dbappsecurtiy.com/pediy/error.hta

error.hta是一个vbs脚本,内嵌powershell脚本,如下所示:

3.jpg

运行hta脚本之后,调用执行内嵌的powershell脚本,如下所示:

4.png

解密出powershell脚本,如下所示:

5.png

此Powershell脚本与远程服务器进行通讯,获取返回数据,捕获到的流量信息,如下所示:

6.png

解密获取的PowerShell脚本获取主机相关信息,与远程服务器通信,解密出来的PowerShell脚本代码,如下所示:

8.jpg

捕获到的网络流量数据,如下所示:

7.png

再次解密获取到的PowerShell脚本,如下所示:

14.jpg

该脚本会设置默认的返回数据信息包,如下所示:

9.png

解密出来的返回数据包信息,如下所示:

10.png

与我们上面捕获到的数据流量包一致,PowerShell脚本通过远程服务器返回相应的操作指令,如下所示:

11.png

CMD远程控制指令过程,如下所示:

12.png

通过CMD指令可以远程获取主机文件,进程等信息,下载,上传文件等操作,监控网络流量数据,如下所示:

13.jpg

这次钓鱼定向攻击,钓鱼攻击者冒充的发件人邮件信息:

wu.jinyan@dbappsecurtiy.com

很明显冒充了安恒的邮箱,安恒的邮箱地址后缀是dbappsecurity.com

这应该是一次有目的性,通过钓鱼邮件定向攻击目标,并进行远程控制的网络攻击行为,此次钓鱼邮件定向攻击同样采用"无文件"攻击手法,无落地PE文件,邮件附件中只包含一个HTA脚本文件,通过执行HTA脚本调用PowerShell执行所有的恶意操作

现在的钓鱼邮件攻击越来越多,各企业或网站的相关管理人员,一定要擦亮眼睛,以防被钓鱼攻击,不要轻易打开陌生的邮件以及附件。

IOC

584437BC8063B64FB65D2882A7DDBD89

C&C

45.89.175.192

www2.netstorehosting.com

URL

hxxp://www.dbappsecurtiy[.]com/pediy/error.hta

www2.netstorehosting[.]com/login/process.php

www2.netstorehosting[.]com/admin/get.php

www2.netstorehosting[.]com/news.php

*本文作者:熊猫正正,转载请注明来自FreeBuf.COM


# 钓鱼攻击 # 看雪 # 安恒
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者