防止釣魚社工|釣魚郵件分析

釣魚郵件分析篇

釣魚郵件攻擊多為兩種，一是帶有附件的word宏病毒，二是引導受害者進入釣魚網站來獲取受害者的敏感信息。識別釣魚郵件首先關注發件人的地址信息，以及攻擊者發過來的惡意鏈接地址（將鼠標光標移動至惡意鏈接地址在瀏覽器左下角可以看到相關地址）。同時在大家日常工作中要提高自己的安全意識，不要使用以自己生日命名的密碼或者簡單的密碼組合，不要再互聯網中經常使用個人信息來進行注冊，往往攻擊者再獲取到內部人員郵箱之后進行的攻擊會使內部員工大面積中招。

一、事件描述：

2020年09月17日 17:11:00我方拿到釣魚郵件樣本，隨立即對其展開分析工作。通過云沙箱對樣本進行分析，發現其為word宏病毒。

將文件上傳至云沙箱，可發現該文件為惡意文件。

分析總結該文件執行流程如下：運行文件后會通過powershell執行惡意代碼，下載了名為K2ngq9rh.exe的惡意程序，該惡意程序運行會執行多項惡意行為并將自身刪除。

打開文檔前先禁用宏，防止word宏代碼執行對機器進行高危操作，對宏代碼進行分析。

分為Od7aj7ii3yu和K946e0s3qiq0兩部分宏代碼。

Od7aj7ii3yu 函數為一個私有方法在文檔打開時創建了6個字符串數組對象，為后續操作做準備。

K946e0s3qiq0為惡意宏代碼的主體程序，代碼中使用字符串拼接作為字典，使用mid、trim、split函數偏移對無序字符串進行取值。

對其中一個部分驗證如下：

繼續追蹤代碼,發現公代碼會調用wmi(winmgmts),使用win32_process接口獲取計算機的系統信息。

繼續跟蹤代碼發現一個比較有意思的事情，在解密過程中會出現pizdec 字樣的字符串，查詢后是俄羅斯語，懷疑該釣魚郵件與俄羅斯有關。

繼續分析，可以看到在字符串解密后會使用powershell -encode 執行加密后的代碼。

該加密后的代碼有2部分構成：

1、明文使用”.”、“*”、“/”、“ ”等做混淆

2、混淆后使用base64加密

逆向該過程還原明文

分析宏代碼釋放的exe文件，在函數中發現了作者自定義的函數名稱為lhxXfY9mIrDZ，結合宏代碼中的pizdec。谷歌搜索后發現2020年9月18號的一個沙箱報告。

報告如下

木馬邏輯分為加載器和木馬核心，在加載器運行時，也就是qct8u1hKuXXwoP.exe會先獲取系統的基本信息、是否為調試環境等。

判斷是否在debug環境下

如果是調試環境就會sleep，不執行后續動作。

獲取系統的cpu 和 oem信息

根據報告內容發現如果加載器運行正常會下載木馬核心。

拼接下載地址，下載木馬分析。在 ida中分析發現木馬作者沒有刪去本機的調試路徑。

根據此路徑為關鍵字搜索可以確定該釣魚郵件的組織為

Emotet

Emotet惡意軟件的第一個版本早在2014年就被廣泛發現，其目的是通過攔截互聯網流量來竊取銀行憑證。首次在野外發現Emotet時，該惡意軟件僅使用其本機信息竊取工具集，主要針對德國和奧地利的銀行。Emotet背后的運營團隊是Mealybug。該團隊 是一個網絡犯罪組織，自2014年以來一直保持活躍。我們可以通過其使用的自定義惡意軟件Trojan.Emotet來識別它。近幾年來，Mealybug似乎已經改變了其商業模式，從針對歐洲的銀行客戶轉變為了使用其基礎設施為全球其他威脅行為者提供惡意軟件包裝和交付服務。此次釣魚郵件攻擊，是針對于政府企業的一次APT攻擊。

分析文件執行內容，可以發現該惡意文件會執行多種惡意行為，包括代碼混淆、釋放惡意文件、創建可以進程等：

文件執行過程中可觀察到其實通過powershell進行數據的傳輸工作。

通過對文件執行中的powershell代碼進行解碼分析，得到源代碼。

解碼得到

對代碼進行分析得知代碼內容為請求以下URL

http://theccwork.com/mail.theccwork.com/IJp/

https://www.retirementprofessional.com/wp-admin/tjQ/

https://writingfromling.live/wp-admin/GL/

http://shahqutubuddin.org/ix/

https://jumpstart.store/wp-admin/q/

https://aidenshirt.com/wp-admin/e6f/

https://edenrug.store/wp-admin/H/

對以上URL進行溯源分析發現站點均為wordpress模板，wordpress為最新版本無法進行漏洞利用。部分信息如下：

訪問該域名會提示此網站為釣魚網站。

點擊鏈接下載其中病毒文件并進行威脅情報分析。

對其請求的IP地址進行情報收集。

發現其為Emotet銀行木馬。

2.本地執行此病毒木馬通過分析流量發現其指向兩個域名。

對流量中的域名地址進行溯源分析

其IP地址為Emotet銀行木馬地址。

3.通過分析該病毒木馬文件，發現其Host指向四個IP地址其中包含Emotet銀行木馬地址。

通過百度詞條可得知，EMOTET銀行木馬其主要通過垃圾郵件的方式進行傳播。

結論：

根據以上線索推斷分析，此事件為境外黑產團伙傳播Emotet銀行木馬的釣魚郵件攻擊，嘗試對攻擊者進行溯源反制發現其相關站點為浮動變化站點。未能有進一步發現。