产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
“商贸信”病毒装成商品图片,双击就被安装商业间谍软件
2019-04-02 10:37:37
一、背景
腾讯御见威胁情报中心近期检测到商贸信木马家族最新变种攻击。攻击者将伪装成图片的lnk文件放置于压缩包中,然后将其作为邮件附件发送给目标邮箱,当被攻击者收到邮件,并尝试点击附件中的“图片”进行查看时,lnk文件指向的mshta脚本或powershell恶意代码会立即执行。
恶意代码首先会下载并打开一个用于掩饰攻击行动的图片,而后台却在下载商业间谍软件NanoCoreRAT运行,该商业间谍软件可完全控制受害者电脑,窃取任意文件资料,执行键盘记录窃取关键密码信息,下载运行任意程序,控制中毒电脑的音频、摄像头设备,也可接受远程指令对目标计算机进行拒绝服务攻击(DoS)。
以往的商贸信钓鱼邮件攻击,多以word文件作邮件附件来欺骗打开,通过文档触发Office高危漏洞(CVE-2017-11882、CVE2017-8759)攻击为主,此次发现的攻击直接发送包含恶意代码执行的lnk文件。一旦用户双击假冒的图片文件,还以为真的只看到商品信息,而实际上RAT(远程控制)木马已被下载运行。此类攻击构造简单,可灵活更换攻击脚本代码,恶意代码的执行并不需要利用电脑安全漏洞,具有高度隐蔽性和欺骗性,会对相关行业人员造成极大威胁。
腾讯电脑管家及腾讯御点终端安全管理系统均可成功防御商贸信病毒的本次攻击。
二、载荷投递
黑客向目标人员发送邮件。
邮件中说明附件内容为产品信息,并提出关于价格方面的意见。
附件压缩包中的文件后缀为.jpg.lnk,但并不是图片文件,而是一个快捷方式(lnk文件)。
对多个类似邮件附件进行分析,发现其中的快捷方式中暗藏的恶意代码分为两种:
一种为下载执行远程mshta脚本,另一种为指向下载执行远程Powershell脚本,而下载的地址都是77.73.68.175。
下载Hta脚本hxxp://77.73.68.175/BwVuHr/cabinm/nap.hta进行分析,发现其中代码经过了混淆,同时又包含解密函数
脚本执行时先通过解密函数对加密的内容进行解密
解密后的代码为Powershell脚本,脚本首先下载图片hxxp://excursiionline.ro/cgib/159.jpg并打开,图片提示workbook读取Excel失败,让中招者误以为是附件中的数据格式不支持。
然后下载木马hxxp://77.73.68.175/BwVuHr/cabinm/nap.exe,获取三位随机字符作为木马文件名,并保存木马至C:\Users\Public\xxx.exe目录,通过命令Start-Process启动木马执行。
三、RAT(远程控制)木马
Lnk文件打开后导致木马下载并被保存至C:\Users\Public\目录下,木马外壳使用VB语言编写,核心代码实际上为商业间谍软件NanoCoreRAT
运行后拷贝自身到Temp目录下,创建用于启动木马的VBS脚本From1Galo.vbs
将VBS脚本添加注册表启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Form1MOTO
创建计划任务启动木马:
计划任务名:SCSI Subsystem
还会拷贝自身到软件目录下,作为另一个副本执行,以增加木马驻留几率:
C:\Program Files (x86)\SCSI Subsystem\scsiss.exe
(伪装成SCSI接口设备程序),并通过注册表添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\SCSI Subsystem
添加计划任务启动:
计划任务名:SCSI Subsystem Task
分析发现该木马为商业窃密软件NanoCoreRAT,主要功能为窃取感染用户的敏感信息、密码等,同时还支持多种插件功能。
创建%appdata%Roaming[MachineGuid]文件夹,将当前的时间写入run.dat并保存在这个目录中后,将配置信息放入一个字典中用来检索对应的配置,根据这些信息来执行对应的操作,包括设置自启动、bypassUAC、设置访问权限、加载插件等等,并将获取到的键盘输入信息加密后保存至Logs目录下。
木马接收远程指令执行以下功能:
1. 密钥记录
2. “压力测试”或DDoS
3. 下载、执行或安装其他软件
4. 远程CLI和UI
5. 注册表编辑
6. SOCKS代理
7. 防火墙修改
8. 网络摄像头和音频控制
木马连接到C&C服务器,上传用户信息和接收下一步的指令,此样本中包含的C&C地址为:194.5.98.79:9320
四、安全建议
1.不要打开不明来源的邮件附件;可修改资源管理器查看文件的选项:“选择查看文件扩展名”,如果发现任何文件有两个扩展名,即可能为恶意程序伪装,需要高度警惕。
2.及时打系统补丁和重要软件的补丁;
3.使用杀毒软件防御可能的病毒木马攻击;
4.使用腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
IOCs
IP
77.73.68.175
194.5.98.79
94.100.18.101
URL
hxxp://77.73.68.175/LUvUtvw/PO4506748678.jpg.zip
hxxp://77.73.68.175/LUvUtvw/out-1331592449.ps1
hxxp://77.73.68.175/BwVuHr/cabinm/nap.hta
hxxp://77.73.68.175/LUvUtvw/out-512330769.ps1
hxxp://77.73.68.175/LUvUtvw/out-2117802234.ps1
hxxp://77.73.68.175/BwVuHr/cabinm/nap.exe
hxxp://excursiionline.ro/cgib/159.jpg
Md5
95d241d7748e60423779db4e31595aa3
f059cbce29ab770bddf628f1a921477a
3d4c124df87c3be8d49e49b07a16be84
13654be48ee95fcb4c7d9ee8addf7876
00143acfa694db7393293dda936f6b1c
8cd1e7208641d4c1050a8ced8bec48bf
9f8f5fa0a7966755f4e0797e42e03d41
9203483e93815aa5aafa741edae2b21b
b57b9c113ca398d017b587fbdbeb8734
37886213afee09067d07e0cc973c001f
39aef29d0b341498cdf7f87963369120
fdd99e434664fa04aec707d9f36c9670
204e7679f29b04b3605ddce5c78493bf
22f9bf146e16ef3da4702aadb5afa645
c18bc555dbac0385d2ca58f813f8d3db
3b59af680e370a84a066bb15dfa41000
07e7a14e2e05af9de1562decc12ac5c5
ed06f19eff1bd501bc295b114806124b
9396d2a5f881ead48bdfaafb405b9186
76def4416fdc6f92053b199405470269
4f5fe0af211aa19d4b3f0682e39898cc
在线咨询
方案定制