来料了知识网

冒充安恒信息对看雪论坛的一次定向钓鱼攻击

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图1

中午吃饭看到群里有人发贴子,好像是看雪被钓鱼,看雪论坛应该是很多安全从业者的启蒙论坛,我也是从看雪论坛走出来的,从上面学到了不少东西,认识了不少朋友,非常感谢看雪论坛,竟然被钓鱼攻击了,于是上去看了一下,钢哥在论坛也发了贴子,公布了邮件信息。

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图2

一共给发了两封邮件,包含同一个恶意链接,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图3

两封邮件附带的恶意链接都是一样的,如下:www.dbappsecurtiy.com/pediy/error.hta

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图4

error.hta是一个vbs脚本,内嵌powershell脚本,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图5

运行hta脚本之后,调用执行内嵌的powershell脚本,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图6

解密出powershell脚本,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图7

此Powershell脚本与远程服务器进行通讯,获取返回数据,捕获到的流量信息,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图8

解密获取的PowerShell脚本获取主机相关信息,与远程服务器通信,解密出来的PowerShell脚本代码,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图9

捕获到的网络流量数据,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图10

再次解密获取到的PowerShell脚本,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图11

该脚本会设置默认的返回数据信息包,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图12

解密出来的返回数据包信息,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图13

与我们上面捕获到的数据流量包一致,PowerShell脚本通过远程服务器返回相应的操作指令,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图14

CMD远程控制指令过程,如下所示:

冒充安恒信息对看雪论坛的一次定向钓鱼攻击  -图15

通过CMD指令可以远程获取主机文件,进程等信息,下载,上传文件等操作,监控网络流量数据,如下所示:

这次钓鱼定向攻击,钓鱼攻击者冒充的发件人邮件信息:wu.jinyan@dbappsecurtiy.com,很明显冒充了安恒的邮箱,安恒的邮箱地址后缀是dbappsecurity.com,这应该是一次有目的性,通过钓鱼邮件定向攻击目标,并进行远程控制的网络攻击行为,此次钓鱼邮件定向攻击同样采用”无文件”攻击手法,无落地PE文件,邮件附件中只包含一个HTA脚本文件,通过执行HTA脚本调用PowerShell执行所有的恶意操作。

现在的钓鱼邮件攻击越来越多,各企业或网站的相关管理人员,一定要擦亮眼睛,以防被钓鱼攻击,不要轻易打开陌生的邮件以及附件。

IOC:584437BC8063B64FB65D2882A7DDBD89

C&C:45.89.175.192 和 www2.netstorehosting.com

URL:

  • hxxp://www.dbappsecurtiy[.]com/pediy/error.hta
  • www2.netstorehosting[.]com/login/process.php
  • www2.netstorehosting[.]com/admin/get.php
  • www2.netstorehosting[.]com/news.php

最后欢迎大家关注此微信公众号,专注全球恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息。

欢迎登录安全客 - 有思想的安全新媒体www.anquanke.com/ 加入交流群814450983 获取更多最新资讯吧。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 190277521@qq.com举报,一经查实,本站将立刻删除。 转载请注明出处:https://ylstqj.com/post/635.html

分享:
扫描分享到社交APP
发表列表
请登录后评论...
游客 游客
此处应有掌声~
评论列表
  • 练文璐
    2024年11月29日 20:07:39
    这种行为是不道德和非法的,侵犯了他人隐私和安全,请遵守法律法规并尊重他人的权利!
  • 崔函娟
    2024年12月20日 18:34:11
    这次钓鱼攻击的目的是为了获取安恒信息的相关资料,同时也暴露了看雪论坛的安全漏洞。
x

注册

已经有帐号?