7月份腾讯御见威胁情报中心在日常监测网络攻击行为时,发现了多起针对钢铁行业的邮件钓鱼攻击,黑客在攻击中大量使用钢铁行业相关的诱饵文档,比如销售合同、商品价位表、规格书及图片等等。这些诱饵文档实际上为CVE-2017-11882漏洞文档。
一旦运行这些诱饵文档,用户电脑会自动触发CVE-2017-11882漏洞,进而下载病毒文件。据统计,整个7月份网络上类似的邮件钓鱼高达10万余次,借此传播的远控木马类型多达10余种,包括RemcosRAT、NetWire、AgentTesla、LokiBot、HawkEye、Formbook等等。
这些远控木马不仅会窃取用户的敏感信息,包括键盘记录、窃取邮箱帐号密码和几乎所有浏览器记录的网站帐号密码等,同时还支持多平台远程控制,根据黑客下发的指令下载和执行恶意程序,控制受害者电脑,使之成为僵尸网络的组成部分。
受害用户主要是钢铁行业的海外业务拓展人员。出于业务拓展需要,不少用户习惯将联系邮箱等信息挂到各大社区网站或论坛。而黑客利用爬虫程序能够轻易收集到这些邮箱信息,并加以利用。
本轮钓鱼攻击的其中一例钓鱼邮件,是以“China Steel Offer”为主题,附件中带有名为“China Steel Pricelist.doc”的CVE-2017-11882 漏洞文档。漏洞文档被打开后,会从“uploadtops.is”下载和执行NetWire远控木马,从而使受害者沦为受黑客控制的“肉鸡”。以下为具体分析:
(钓鱼邮件内容及google翻译结果)
(漏洞文档中的内容)
0x1 技术分析
下载下来的样本为vb语言编写,vb程序中有一段加密的shellcode.
(vb程序入口点)
Shellcode会解密出一个pe,然后内存加载和执行此pe文件
(内存中的pe文件)
Dum出的pe中字符串信息如下,字符串明显被加密了。
(加密的字符串信息)
(解密后的部分明文字符串)
木马的配置信息都被加密存储了,解密后可以看到木马的c2地址。
(解密后的c2)
木马会调用RegisterRawInputDevices、GetRawInputData等api来实现键盘记录器的功能,收集硬盘信息等也是此木马的功能之一。
(键盘记录器代码)
(收集磁盘信息)
通过查阅此木马的用户使用手册可知该木马不仅支持windows平台,还支持Linux、Solaris、Mac OS等平台,通过此木马的生成器还能生成java或apk版的木马。木马主要功能有文件管理、系统管理、窃取存取在计算机上的密码、键盘记录、屏幕截取、远程shell、下载、反向代理等功能。
(NetWire用户手册)
该木马可以窃取Mozilla Firefox所有版本、Internet Explorer所有版本、Opera所有版本、Chrominum所有版本、SeaMonkey所有版本的网页浏览器中存储的密码,还可以窃取邮箱软件MozillaThunderbird和Outlook中存储的密码,也支持获取聊天工具Winds Live Messenger 和Pidgin的密码。
0x2 关联分析
在腾讯御见威胁情报系统中利用“uploadtops.is”域名进行反查,我们发现了较多的木马会从域名进行下载。
在地域分布方面,广东、江苏、浙江等地区被攻击较严重。
通过对下载到的木马进行关联分析,我们还发现一批在漏洞文档中张贴工商银行票据当诱饵的攻击活动,同样是使用钓鱼邮件加CVE-2017-11882漏洞的攻击方式。
(漏洞文档中的内容)
另外我们发现在本轮攻击活动中,使用的诱饵文档,不仅有钢铁相关的销售合同,还有直接其它需要钢铁的周边物件规格书(比如“脚手架”)、或者包含钢材相关的图片等。
(脚手架材料漏洞文档)
(漏洞文档中的内容)
上述url中下载回来的木马都属于远控木马,大致功能与本文中的netwire相同,不再作进一步分析。
0x3 安全建议
1. 推荐使用腾讯御点终端安全管理系统(下载地址:https://s.tencent.com/product/yd/index.html),及时修复系统高危漏洞,防御病毒木马威胁。
2. 推荐使用御界防APT邮件网关(下载地址:https://s.tencent.com/product/yjwg/index.html),迅速识别APT攻击邮件、钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。
3. 查阅邮件时要注意识别邮件发件人信息,不要轻易打开来历不明的邮件中的附件。
4. 企业网管可以为防火墙新增IOCs里ip和url的拦截。
0x4 IOCs(版面限制仅列取部分IOCs):
Md5:
631B419E508DCD0D27A8356EA7320BA0
B6E34732931FC3AEE81212A5DA28E0F7
8F74B0819480B9E366698247E9D906FE
2B4C5710965464A62B031162B558A2FF
B0BCBB734FEBD05B532CBE81B5261181
A9801AB39E5F3E7CFAC7B2F586F977A5
2D6AD5C64ADFB87D8E56810D59308EBF
EFC31F6152590A8CFDBEF28C7009216D
E4DB905B3261DA8FF73F5FE2C1FBF2A5
E0A44F72F5AD387B195775F1530C616C
AF9736CAFD11FBE15BC09AA682487197
918392BDDB4F1E6D44692C9F661E9413
77D2A6994A52D8ACDC15BF059DCFB873
24D7570EEC986267D81833E7AC6AD632
248835c2d9e162de632365fc282bc66b
58ebf194f201b445e8c0f500e0f2faf3
e94af21e3ea6d35fb7fcd1044b4aada4
b42453c664d49fb02780d7f1b7f11695
369b8dfb6b56625066a7a4a5512d9b78
29ac6bda8965435714a9781fca062732
C2:
wealthyman.brasilia.me
185.163.100.22
154.118.72.52
billions.ddns.net
https://www.golibanu.info/shaq/fre.php
http://www.labamayu.info/neu/fre.php
url:
uploadtops.is/3/T/IdBr2wo
uploadtops.is/3/T/BxCGF46
uploadtops.is /3/T/Q4kKZ5q
uploadtops.is/1/q/pjxXWFW
uploadtops.is/1/f/ADZj0Ei
uploadtops.is/1/q/74BCmcp
uploadtops.is /1/q/iATyXjM
uploadtops.is /1/q/XQOMohn
uploadtops.is /1/q/qfDVR3d
uploadtops.is /1/q/yHDLwC6
uploadtops.is /1/q/OscbxJh
uploadtops.is /1/q/roHfXU8
uploadtops.is /1/q/jd2YPLZ
