0
| 本文作者: 李勤 | 2019-07-21 12:17 |
雷鋒網(wǎng)注:本文轉(zhuǎn)載自火絨安全。
日前,火絨工程師接到某公關(guān)公司求助,稱在未安裝火絨的情況下,員工所用企業(yè)郵箱被盜,并向其服務(wù)的多個(gè)客戶發(fā)送帶有病毒附件的郵件。火絨工程師根據(jù)該公司提供的郵件及病毒附件分析發(fā)現(xiàn),這是一起有預(yù)謀的、針對(duì)特定企業(yè)進(jìn)行的APT類攻擊(高級(jí)可持續(xù)性攻擊)。附件文檔內(nèi)容并非公司員工編寫,并經(jīng)過精心設(shè)計(jì),可以看出攻擊者對(duì)該公司及其所服務(wù)客戶工作時(shí)間、習(xí)慣以及業(yè)務(wù)等都極其熟悉。
火絨工程師分析,病毒郵件附件為一個(gè)壓縮包,內(nèi)有偽裝成Word文檔的病毒程序(木馬下載器),誘騙用戶點(diǎn)擊。一旦病毒被執(zhí)行,首先會(huì)釋放一個(gè)與病毒同名的真實(shí)的Word文檔,并同時(shí)將自己隱藏到其它目錄中,且可以隨開機(jī)自行啟動(dòng)。
偽裝成Word的病毒程序
隱藏的病毒主要實(shí)施兩種行為:一是搜集被攻擊的電腦系統(tǒng)版本和安裝的安全軟件信息,發(fā)送至病毒遠(yuǎn)程服務(wù)器;二是從遠(yuǎn)程服務(wù)器中下載其它病毒到本地執(zhí)行。由于該企業(yè)求助火絨分析病毒郵件時(shí),距離被攻擊時(shí)間已有兩周,其遠(yuǎn)程服務(wù)器已經(jīng)無法下載病毒模塊,但依舊處于開啟狀態(tài),不排除后續(xù)派發(fā)其它病毒到本地執(zhí)行的可能性。
而值得一提的是,該病毒入侵電腦后還會(huì)關(guān)閉趨勢(shì)安全軟件,該軟件為多數(shù)日企所用,這近一步表明攻擊者精準(zhǔn)的了解攻擊目標(biāo),而非盲目攻擊。
最后,針對(duì)此類精準(zhǔn)、持續(xù)的郵件攻擊,建議廣大企業(yè)用戶:
及時(shí)尋求安全公司的幫助,查詢病毒來源、去處以及危害,并及時(shí)清除病毒,加強(qiáng)安全防護(hù),比如定期修改郵箱密碼;而對(duì)于收件方,如果已經(jīng)執(zhí)行了病毒附件,也需要聯(lián)系安全廠商進(jìn)行全面排查,防止黑客入侵。此外,還可以安裝靠譜安全軟件定期殺毒,并開啟相關(guān)防御功能。
附【事件相關(guān)樣本分析】:
某公關(guān)顧問公司發(fā)現(xiàn)有部分企業(yè)郵箱對(duì)該公司客戶發(fā)送帶有惡意附件的郵件,附件包含的文檔格式經(jīng)過精心設(shè)計(jì),內(nèi)容非公關(guān)公司員工編寫,對(duì)客戶的投放較為精準(zhǔn),且對(duì)雙方企業(yè)構(gòu)成、業(yè)務(wù)、工作習(xí)慣較為熟悉,帶有明顯的APT攻擊痕跡。
用戶提供的惡意郵件附件為一個(gè)壓縮包,壓縮包中包含有偽裝成Word文檔的病毒程序(通過插入U(xiǎn)nicode RLO控制符改變文件名的顯示順序),誘騙用戶點(diǎn)擊執(zhí)行。
病毒主要惡意行為:
1、遍歷進(jìn)程,查找PC-cillin安全軟件相關(guān)程序”pccnt.exe”并結(jié)束。
2、解密用于欺騙用戶的Word文檔到病毒當(dāng)前的目錄下,并打開。
3、將自身移動(dòng)到%Temp%目錄下,更名為avirra.exe,之后將新的文件路徑添加注冊(cè)表啟動(dòng)項(xiàng)。(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ravirra)
4、使用主機(jī)的用戶名、MAC地址作為標(biāo)識(shí),并收集主機(jī)的系統(tǒng)版本和安裝的安全軟件信息后,將兩段數(shù)據(jù)簡單加密拼接發(fā)送至病毒服務(wù)器。(hxxp://180.150.xxx.xxx/ser.php)。
5、從地址hxxp://180.150.xxx.xxx/cbook.jpg下載相關(guān)文件解密后執(zhí)行。下載和解密的相關(guān)下載代碼,如下圖所示:
6、以上分析可以證明該病毒屬于攻擊的前期階段,后續(xù)攻擊會(huì)根據(jù)病毒服務(wù)器的返回的數(shù)據(jù)做進(jìn)一步滲透。
企業(yè)聯(lián)系火絨提取郵件時(shí),距離郵件發(fā)送已超過兩個(gè)星期, C&C服務(wù)器已經(jīng)無法請(qǐng)求到病毒相關(guān)模塊。但該服務(wù)器的Web服務(wù)依然處于發(fā)布狀態(tài),不排除將來下發(fā)其他病毒模塊到被入侵計(jì)算機(jī)執(zhí)行的可能性。
建議企業(yè)在發(fā)生安全事件時(shí),及時(shí)與安全公司取得聯(lián)系,尋求對(duì)樣本分析、事件溯源和安全技術(shù)的支持。
雷鋒網(wǎng)從火絨了解到,此次安全事件中,如果收件方已經(jīng)執(zhí)行了郵件附件的情況下,也需要聯(lián)系安全廠商對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行檢測(cè),不排除黑客已經(jīng)入侵到公司內(nèi)網(wǎng)的可能。
雷鋒網(wǎng)注:本文轉(zhuǎn)載自火絨安全。
雷峰網(wǎng)版權(quán)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
