?

1??????? 概述

近日，哈工大安天聯(lián)合CERT實驗室監(jiān)測到多起利用垃圾郵件傳播遠控木馬的攻擊活動。攻擊者通過發(fā)送以“訂單”、“發(fā)票”、“單據(jù)”等為主題的郵件，結合郵件正文誘導用戶點擊釣魚鏈接，從而下載執(zhí)行惡意文件。釣魚鏈接是攻擊者將以“訂單.rar”、“電子發(fā)票.rar”等名稱命名的誘餌壓縮包文件上傳至文件共享平臺生成的分享鏈接，這種方式可以實現(xiàn)降低自身運營成本、規(guī)避溯源、白名單繞過的效果。

誘餌壓縮包中包含三個文件，其中.data文件和.exe文件名稱一致，一般以“訂單”和“電子發(fā)票”為主，而名為“cl32.dll”的文件即為核心惡意文件，攻擊者利用白加黑的運行機制誘導目標執(zhí)行exe文件以加載該dll文件。cl32.dll運行后在內存中解密并執(zhí)行核心惡意dll，實現(xiàn)連接C2及下載通信模塊。通信模塊名為“client.dll”，經(jīng)關聯(lián)溯源分析，確認該dll文件為某論壇上分享的“通信傳輸框架”，能夠實現(xiàn)多協(xié)議通信及數(shù)據(jù)交互，推測是為C2連接在多協(xié)議通信上提供支撐。

從樣本分析上看，樣本采用易語言編寫，基于現(xiàn)有分析結果，確認樣本具有遠控木馬的進程和網(wǎng)絡行為特征，具備部分惡意功能；依據(jù)相關惡意樣本特征，結合通信模塊來源論壇的分享內容，研究人員推測本次攻擊活動是攻擊者惡意利用某論壇分享的工具及技術構造遠控木馬并通過垃圾郵件進行傳播。綜合樣本分析及溯源結果，結合攻擊者使用技術和惡意意圖，研究人員認為用戶一旦執(zhí)行本次攻擊活動中垃圾郵件傳播的遠控木馬，用戶終端將面臨遠程控制風險和數(shù)據(jù)泄露風險。

2??????? 本次攻擊活動對應的ATT&CK映射圖譜

本次攻擊活動對應的技術特點分布圖：

具體ATT&CK技術行為描述表：

表 2?1 事件對應的ATT&CK技術行為描述表

3??????? 防護建議

針對該遠控木馬安天建議政企機構采取如下防護措施：

3.1??????? 識別釣魚郵件

1.????? 查看郵件發(fā)件人： 警惕發(fā)送“公務郵件”的非組織的發(fā)件人；

2.????? 看收件人地址： 警惕群發(fā)郵件，可聯(lián)系發(fā)件人確認；

3.????? 看發(fā)件時間： ?警惕非工作時間發(fā)送的郵件；

4.????? 看郵件標題： 警惕具備“訂單”、“票據(jù)”、“工資補貼”、“采購”等關鍵詞的標題的郵件；

5.????? 看正文措辭： 警惕以“親”、“親愛的用戶”、“親愛的同事”等較為泛化問候的郵件；

6.????? 看正文目的： 警惕以“系統(tǒng)升級”、“系統(tǒng)維護”、“安全設置”等名義索取郵箱賬號密碼的郵件；

7.????? 看正文內容： 警惕其中附帶的網(wǎng)頁鏈接，特別是短鏈接；

8.????? 看附件內容： 查看前，須使用防毒軟件對附件進行病毒掃描監(jiān)測。

3.2??????? 日常郵箱安全使用防護

1.????? 安裝終端防護軟件：安裝終端防護軟件，開啟防護軟件中對郵件附件的掃描檢測功能，定期對系統(tǒng)進行安全檢測，修復系統(tǒng)漏洞。

2.????? 郵箱登錄口令：郵箱登錄口令設置時確保具備一定復雜性（包含三種字符元素），確保口令不記錄于辦公區(qū)明顯位置，定期修改登錄口令。

3.????? 郵箱賬號要綁定手機：郵箱賬號綁定手機后，不僅可以找回密碼，還可以接收“異常登錄”的提示短信，即時處置。

4.????? 重要文件要做好防護：

a)?????? 及時清空收件箱、發(fā)件箱和垃圾箱內不再使用的重要郵件；

b)?????? 備份重要文件，防止被攻擊后文件丟失；

c)?????? 重要郵件或附件應加密發(fā)送，且正文中不能附帶解密密碼。

5.????? 敏感信息要保護：不要將敏感信息發(fā)布到互聯(lián)網(wǎng)上，用戶發(fā)布到互聯(lián)網(wǎng)上的信息和數(shù)據(jù)會被攻擊者收集。攻擊者可以通過分析這些信息和數(shù)據(jù)，有針對性的向用戶發(fā)送釣魚郵件。

3.3??????? 政企機構防護

（1） 安裝終端防護軟件：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)；

（2） 加強口令強度：避免使用弱口令，建議使用16位或更長的密碼，包括大小寫字母、數(shù)字和符號在內的組合，同時避免多個服務器使用相同口令；

（3） 部署入侵檢測系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設備，便于對惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)（PTD）以網(wǎng)絡流量為檢測分析對象，能精準檢測出已知海量惡意代碼和網(wǎng)絡攻擊活動，有效發(fā)現(xiàn)網(wǎng)絡可疑行為、資產和各類未知威脅；

（4） 安天服務：若遭受惡意軟件攻擊，建議及時隔離被攻擊主機，并保護現(xiàn)場等待安全工程師對計算機進行排查；安天7*24小時服務熱線：400-840-9234。

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對該遠控木馬的有效查殺。

4??????? 郵件分析

垃圾郵件主要利用如“訂單”、“發(fā)票”、“單據(jù)”等主題，構建郵件正文，并將釣魚鏈接嵌入其中，以隱式方式存在（即顯示鏈接與實際鏈接不一致），顯示連接訪問后確實為一個發(fā)票文件。

釣魚鏈接主要以文檔共享平臺生成的鏈接為主，具體的文檔共享平臺有“金山文檔”、“網(wǎng)易郵箱大師”、“藍奏云存儲”等。誘餌壓縮包存儲于多個文檔共享平臺，生成對應鏈接，利用垃圾郵件不斷發(fā)送至目標郵箱，誘使目標點擊，下載對應壓縮包。

5??????? 樣本分析

5.1??????? 誘餌壓縮包分析

壓縮包中包含三個文件，分別為“電子發(fā)票.exe”、“電子發(fā)票.data”、“cl32.dll”。其中兩個可執(zhí)行程序具備UPX加殼，經(jīng)分析驗證該壓縮包中的文件是利用白加黑技術，實現(xiàn)惡意代碼執(zhí)行，具體惡意文件為cl32.dll。

5.2??????? cl32.dll分析

5.2.1???????? 樣本標簽

表 5?1 cl32.dll樣本標簽

cl32.dll加載后，在內存中解密并加載另一個dll文件，下面以“DLL.dll”為名。

5.2.3???????? 下載通信模塊

解密加載執(zhí)行DLL.dll后，讀取當前目錄下的.data文件，在內存中解密，解密后內容為C2連接地址及通信模塊下載地址。

連接該URL下載通信模塊。

5.2.4???????? 進程行為

在通信模塊下載后，創(chuàng)建以新拷貝的exe文件為載體的子進程，并結束自身進程。

5.2.5???????? 持久化

程序運行后，會創(chuàng)建快捷方式拷貝至啟動目錄中，實現(xiàn)持久化運行。

5.2.6???????? 連接C2地址

通信模塊下載成功后，會連接C2，發(fā)送上線包。

后續(xù)不斷發(fā)送加密信息。

5.3??????? client.dll分析

5.3.1???????? 樣本標簽

表 5?2 client.dll樣本標簽

對client.dll文件分析，確認該文件為某論壇中分享的通信傳輸框架。

5.3.3???????? 終端防護進程檢測

通信模塊中還附帶針對目標主機終端防護軟件核心進程的檢測功能。

6??????? IoCs