社會工程學 | 釣魚郵件惡意樣本分析

聲明：本人堅決反對利用文章內容進行惡意攻擊行為，一切錯誤行為必將受到懲罰，綠色網絡需要靠我們共同維護，推薦大家在了解技術原理的前提下，更好的維護個人信息安全、企業安全、國家安全。

今天是個大晴天，一個朋友發我一個eml釣魚樣本,我協助分析了一下，打開文件內容：

發件人：zhaxxxxxx@163.com

收件人：X人

郵件內容如下所示：

將郵件附件通過base64編碼解密，使用壓縮包密碼********打開，可以看到一個word和一個exe可執行文件：

此處存在一處可疑地方：壓縮包文件大小是800kb,減壓后文件大小為36kb，猜測存在隱藏文件的情況，通過壓縮包可以查看存在的文件一共是4個文件

也可以通過windows系統指令“dir /a”，查看存在隱藏文件：DumpStack.log和vmtools.dll

取消隱藏受保護的操作系統文件，查看隱藏文件

將上述文件重新打包，上傳到微步沙箱重新分析，可以發現存在惡意行為。

惡意外聯地址為阿里云一臺VPS主機，IP地址為xx.xx.xx.xx

特別說明：

attrib file_name +s +h //將文件設置為系統受保護文件+隱藏，這樣默認情況下，用戶打開時文件夾夾就比會被輕易發現。