欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

基于Tor网络的钓鱼邮件分析

来源:本站整理 作者:佚名 时间:2018-07-01 TAG: 我要投稿

一、背景
五月十一日,我们的蜜罐系统捕获到来自xxxxxxxxx@uscourtsgov.com邮箱的钓鱼邮件。其中uscourtsgov就已经是一个很唬人的服务器名称了。邮件伪装美国法院的传票,并会要求受害者打开邮件的附件(一个加密的word文档)了解详细的信息。

这个钓鱼邮件很有意思,作者对文档进行加密,可以有效的防止各个邮件服务器的拦截,并且会给受害者营造一个神秘的氛围,让人忍不住就想打开瞧一瞧。我们输入文档密码,word提示我们是否启用宏。

当我们启用宏后,会看到一个提示信息。大体的意思是,“本文档无法打开,请更换一台计算机试试“。看到这里读者们是不是很奇怪,我们明明打开了文档,为什么还会出现类似兼容性的提示呢?其实这个提示信息应该是宏产生,作者的目的是想让受害者在多个计算机中打开这个文档。作者的小心思可见一斑啊。

点击确定后显示给我们的是word的文本内容,文档模仿成一个微软的信息提示。内容的大体意思是提示受害者这个文档要在pc上使用MS打开,并且要允许宏运行。作者这么做的目的是为了防止此文档在web或其他应用中打开,导致宏无法运行
我们可以看出此钓鱼邮件是经过精心设计的,既然花了这么大的心思,作者对于后续的攻击也肯定是付出了很大的努力。这次钓鱼邮件的分析也将是一场有趣的旅程。
二、攻击流程
 我们在执行完word文档后,发现系统出现了一些可疑的网络行为,所以在进行详细分析之前,我们先总体上对钓鱼邮件的攻击流程进行跟踪,从宏观上掌握此次事件的整体流程,随后再对具体的步骤进行详细的分析。大体的分析出了以下的攻击步骤:
1.  受害者接收钓鱼邮件,打开邮件附件的word文档,并执行宏脚本。
2.  宏脚本下载执行一个名为background的恶意文件,并弹出系统不兼容的提示框。
3.  background下载一个名为taskwgr.exe的自解压文件,解压生成两个文件install.sql和svchost.exe。4.  taskwgr.exe执行svchost.exe。svchost.exe文件将install.sql解密,执行。
5.  install.sql会连接tor网络,然后加密受害者计算机的文件,弹出勒索信息。
攻击流程图:

三、word宏分析
如果允许宏运行,很遗憾,受害者的计算机很有可能会受到后续的一系列攻击。
那么宏到底做了什么?就让我们一起来研究一下。我们先将word文档密码去掉,另存为一个新的文档。

我们查看宏的内容,此时会发现文档中宏及VB工程都是空的。


好吧,看来我们没那么容易获取到宏代码。攻击者还算是想的比较周密,将代码隐藏了起来。
在word中启用文档宏,点击确定时,按住SHIFT,阻止宏自动执行。再次打开VB编辑器,现在文档中的VB工程出现了,打开时会发现工程被加了密码。


不过VB工程的密码可以通过破坏工程文件加密结构的方法将其破坏,我们还是可以获取到代码的。首先将文档另存为docm格式,因为新版office文件是zip格式。

然后再将保存出来的docm扩展名修改为zip,解压。

在解压出来的目录中,可以找到word/vbaProject.bin,该文件就是word文档的VB工程文件。

用16进制编辑器打开,找到“CMG=”和“DPB=”,这里就是VB文档的加密结构,因为word的处理机制问题,只需要将DPB改为DPx即可使密码失效。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载