本次攻击活动对应的ATT&CK映射图谱
本次攻击活动对应的技术特点分布图:
图2‑1 技术特点对应ATT&CK的映射
具体ATT&CK技术行为描述表:
ATT&CK阶段/类别 | 具体行为 | 注释 |
初始访问 | 网络钓鱼 | 发送垃圾邮件传播恶意木马 |
执行 | 诱导用户执行 | 以“电子发票”为名诱导用户执行 |
持久化 | 利用自动启动执行引导或登录 | 创建快捷方式到系统启动目录中 |
防御规避 | 混淆文件或信息 | 加密dll文件 |
发现 | 发现进程 | 探测防护软件进程 |
发现系统信息 | 探测系统版本等信息 | |
数据渗出 | 使用C2信道回传 | 连接C2,回传数据 |
针对该恶意木马安天建议政企机构采取如下防护措施:
3.1 识别钓鱼邮件
1.查看邮件发件人:警惕发送“公务邮件”的非组织的发件人;
2.看收件人地址:警惕群发邮件,可联系发件人确认;
3.看发件时间:警惕非工作时间发送的邮件;
4.看邮件标题:警惕具备“订单”、“票据”、“工资补贴”、“采购”等关键词的标题的邮件;
5.看正文措辞:警惕以“亲”、“亲爱的用户”、“亲爱的同事”等较为泛化问候的邮件;
6.看正文目的:警惕以“系统升级”、“系统维护”、“安全设置”等名义索取邮箱账号密码的邮件;
7.看正文内容:警惕其中附带的网页链接,特别是短链接;
8.看附件内容:查看前,须使用防毒软件对附件进行病毒扫描监测。
3.2 日常邮箱安全使用防护
1.安装终端防护软件:安装终端防护软件,开启防护软件中对邮件附件的扫描检测功能,定期对系统进行安全检测,修复系统漏洞。
2.邮箱登录口令:邮箱登录口令设置时确保具备一定复杂性(包含三种字符元素),确保口令不记录于办公区明显位置,定期修改登录口令。
3.邮箱账号要绑定手机:邮箱账号绑定手机后,不仅可以找回密码,还可以接收“异常登录”的提示短信,即时处置。
4.重要文件要做好防护:
a)及时清空收件箱、发件箱和垃圾箱内不再使用的重要邮件;
b)备份重要文件,防止被攻击后文件丢失;
c)重要邮件或附件应加密发送,且正文中不能附带解密密码。
5.敏感信息要保护:不要将敏感信息发布到互联网上,用户发布到互联网上的信息和数据会被攻击者收集。攻击者可以通过分析这些信息和数据,有针对性的向用户发送钓鱼邮件。
3.3 政企机构防护
(1)安装终端防护软件:安装反病毒软件,建议安装安天智甲终端防御系统;
(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
(3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
(4)安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
经验证,安天智甲终端防御系统(简称IEP)可实现对该恶意木马的有效查杀。
图3‑1 安天智甲实现对用户的有效防护
垃圾邮件主要利用如“订单”、“发票”、“单据”等主题,构建邮件正文,并将钓鱼链接嵌入其中,以隐式方式存在(即显示链接与实际链接不一致),显示连接访问后确实为一个发票文件。
图4‑1 垃圾邮件
钓鱼链接主要以文档共享平台生成的链接为主,具体的文档共享平台有“金山文档”、“网易邮箱大师”、“蓝奏云存储”等。诱饵压缩包存储于多个文档共享平台,生成对应链接,利用垃圾邮件不断发送至目标邮箱,诱使目标点击,下载对应压缩包。
5.1 诱饵压缩包分析
压缩包中包含三个文件,分别为“电子发票.exe”、“电子发票.data”、“cl32.dll”。其中两个可执行程序具备UPX加壳,经分析验证该压缩包中的文件是利用白加黑技术,实现恶意代码执行,具体恶意文件为cl32.dll。
图5‑1 诱饵压缩包文件
5.2 cl32.dll分析
5.2.1 样本标签
恶意代码名称 | Trojan/Win32.FlyStudio.a |
原始文件名 | cl32.dll |
MD5 | 297180F60A3E70896BBE17CCA0E9C501 |
处理器架构 | Intel 386 or later processors and compatible processors |
文件大小 | 640.50 KB (655,872 字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2023-01-09 01:36:31 |
数字签名 | 无 |
加壳类型 | UPX |
编译语言 | 易语言 |
VT首次上传时间 | 2023-02-06 03:52:36 |
VT检测结果 | 22 / 69 |
5.2.2 动态解密并加载dll
cl32.dll加载后,在内存中解密并加载另一个dll文件,下面以“DLL.dll”为名。
图5‑2 解密并加载dll
5.2.3 下载通信模块
解密加载执行DLL.dll后,读取当前目录下的.data文件,在内存中解密,解密后内容为C2连接地址及通信模块下载地址。
图5‑3 解密C2及通信模块下载地址配置信息
连接该URL下载通信模块。
图5‑4 下载通信模块
5.2.4 进程行为
在通信模块下载后,创建以新拷贝的exe文件为载体的子进程,并结束自身进程。
图5‑5 进程行为
5.2.5 持久化
程序运行后,会创建快捷方式拷贝至启动目录中,实现持久化运行。
图5‑6 在启动目录中创建快捷方式
5.2.6 连接C2地址
通信模块下载成功后,会连接C2,发送上线包。
图5‑7 连接C2
后续不断发送加密信息。
图5‑8 发送加密信息
5.3 client.dll分析
5.3.1 样本标签
恶意代码名称 | Trojan/Win32.FlyStudio.a |
原始文件名 | client.dll |
MD5 | 77679E51504F2B94565B6E974D29FFFF |
处理器架构 | Intel 386 or later processors and compatible processors |
文件大小 | 2.40 MB (2,519,040 字节) |
文件格式 | BinExecute/Microsoft.DLL[:X86] |
时间戳 | 2023-01-10 10:52:55 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | 易语言 |
VT首次上传时间 | 2023-01-16 15:36:15 |
VT检测结果 | 41 / 68 |
5.3.2 通信功能
对client.dll文件分析,确认该文件为某论坛中分享的通信传输框架。
图5‑9 通信模块
5.3.3 终端防护进程检测
通信模块中还附带针对目标主机终端防护软件核心进程的检测功能。
图5‑10 终端防护进程检测
5d561153af1589bd1d64556bddd257e0 |
297180f60a3e70896bbe17cca0e9c501 |
77679e51504f2b94565b6e974d29ffff |
2f49e81d731dc4ed960e546a57b06f4a |
6e47449010e84f52736fa9033820fdb6 |
43.**.**.196:12345 |
175.**.**.96:12345 |
150.**.**.22:12345 |
http[:]//27.**.**.194:8080/7X/client.dll |
http[:]//43.**.**.80:8080/7X/client.dll |
http[:]//192.**.**.60:8080/7X/client.dll |
http[:]//134.**.**.215:8080/7X/client.dll |
http[:]//43.**.**.85:8080/7X/client.dll |
http[:]//47.**.**.161:8080/7X/client.dll |
http[:]//43.**.**.194:8080/7X/client.dll |
http[:]//43.**.**.8:8080/7X/client.dll |
http[:]//150.**.**.22:8080/7X/client.dll |
http[:]//43.**.**.196:8080/7X/client.dll |
http[:]//175.**.**.96:8080/7X/client.dll |
https://www.kdocs.cn/view/l/crE7FLdvYnGN |
https://dashi.163.com/html/cloud-attachment-download/?key=djAycC8yc05PUU82cjV5ZUVPUG9QNzBWQT09 |
https://wwpb.lanzoue.com/ihvhc0mu6mvc |