钓鱼特辑(一)真假PPT?现实版“狼人杀”钓鱼

简介: “狼人杀"是当今火爆的策略推理游戏,分为狼人和平民两大阵营,通过夜间行动和白天讨论,各自运用策略和口才来识别和排除对方,以达到胜利条件。众所周知,紧张万分的攻防演练期间,网络安全的战场就像一场没有硝烟的“狼人杀”。红方拼命“刀”平民,蓝方群起而反之。

“狼人杀"是当今火爆的策略推理游戏,分为狼人和平民两大阵营,通过夜间行动和白天讨论,各自运用策略和口才来识别和排除对方,以达到胜利条件。


众所周知,紧张万分的攻防演练期间,网络安全的战场就像一场没有硝烟的“狼人杀”。红方拼命“刀”平民,蓝方群起而反之。




“平民”客服:为什么受伤的总是我


最近,某司客服小李就遭遇了一次“狼人杀”版钓鱼,作为客服人员,他每天要接触许多人员,有已购用户、有潜在客户、还有别有居心的“钓鱼佬”...

客服小李的聊天对话框动了一下,一个看似无害的PPT文档图标发送了过来,“投诉建议.exe”,身为社畜的小李看到关键词“投诉”,出于本能双击打开了该文件。


9d34360cfc7b856616b3b9940be41c2c.png


然而,文件并没有按照他以为打开的那样,罗列出投诉建议,反而弹出一个文件已损坏的对话框。

d9733c3a4abf19841539fc814b2297a6.png


与此同时,公司安全部小王收到了亿格云枢EDR紧急告警,引起了团队高度重视!

55efbe6cb2fc2e2020770519cbace604.png


这是7月发生在某上市企业攻防演练中的真实事件,一次对企业客服员工进行的伪装式钓鱼攻击!


在攻防演练期间,诸如此类的钓鱼行为防不胜防,电子邮件、假冒网站、社交软件都有可能被钓鱼者渗透,他们经常利用工作职能相关的文件包装成木马文件,针对性“点对点”钓鱼!



亿格云枢EDR:检测、响应、分析一手抓



小王所在的安全团队立马联系亿格云安全团队进行进一步分析。通过对样本采集,团队分析发现:该木马程序伪装成PPT的icon来迷惑客服小李。

其使用了一个已过期的恶意签名证书(序列号0b886032861d9553c68f803313a98975),经过调查,该证书之前已应用于多个恶意软件,已经被吊销。

94744b30dbd1228bfd09730cacc9008c.png


同时,亿格云发现,为了躲避防御,该木马程序进行了ETW相关函数(NtTraceEvent)以及AMSI相关函数(AmsiScanBuffer)的PATCH绕过常规EDR的采集监控。


aec1606cf449782a07e4d16be4a586b3.png


按以往看,EDR的出现,已经在很大程度上弥补了终端安全防护的缺失。他们通过实时监控、行为分析和自动化响应来检测、评估并对抗终端设备上的潜在威胁。


但显而易见,钓鱼者已有“破解”常规EDR的方式了。


在分析过程中,亿格云安全团队还原了该木马程序真实的执行路径:



ShellCode下载与执行

从一个大的CDN IP列表中遍历下载shellcode,此处该程序利用了某CDN未校验加速域名归属的问题,内置了一批CDN IP, 使用域前置技术,指定加速域名HOST,流量中没有真正的恶意IP相关痕迹,来规避了对于外连IP/流量相关的检测。



c1ed28020241647525738502d94947c5.png

1c40af5a13ffbcd09fbfa41e05232967.png



亿格云安全团队下载对应的Shellcode后,呈现出来了加密的Shellcode:


c9458896689887d8ad07775e2a79f784.png


钓鱼木马对下载的shellcode进行了简单的校验以及异或解密:


ce60d9353e60f0c3d9887e192e6f263b.png


解密后可以获取真正的shellcode。


787406b7f395d6a3c8b396b3f82412ef.png


该钓鱼木马程序利用WMI查询获取到explorer进程ID,并打开进程进行注入。下图是亿格云枢EDR捕获的内存操作行为:


d60f6aad77f4272d08840776f00a4227.png


其中注入的部分使用了https://github.com/Uri3n/Thread-Pool-Injection-PoC库。

其中使用了PoolParty的ALPC变体来避免了创建远程线程/APC 等常见被常规EDR监控的触发执行方式。


0a855d18942c5394ef535a345a3e321e.png


经过深度分析,Shellcode部分为BokuLoader https://github.com/boku7/BokuLoader,加载了CobaltStrike Beacon


eac25dce32dcc291a840dfa6f8cf1f9e.png


IOC

b4640713c9220e3b86a62beaa2055f9ac86a8e2b16341c0e8f20d24bd7ed48eb

5abd5750e6ebb772c97fe41bd35cf35a501d4295d4237d1adae4527b5dfef770




至此,一个“诡计多端”的木马伪装文件事件顺利告破,为该上市企业挽回了不可估量的损失!如若木马程序在客服小李的终端顺利运行,那毫无疑问,“狼人”钓鱼者将直接拥有这台终端的控制权,其后果不堪设想。


事件的关键,离不开亿格云枢EDR强大的“防钓鱼”功能,亿格云枢EDR通过内存扫描模块能实时扫描进程中的可疑内存块,内置杀毒引擎和亿格云自研的内存检测引擎能有效地解决大部分免杀内存木马,从文件特征、行为特征、内存特征等多维度检测响应,同时检测DLL SideLoading攻击手法、禁止即时通讯软件下载可执行文件等技术,让企业免受钓鱼攻击威胁。



相关文章
|
3月前
|
云安全 安全 Linux
钓鱼特辑(二)在红队眼皮底下拆解木马
一场牵动人心的攻防演练正在如火如荼地开展,红方每天变着花样对目标进行钓鱼攻击,亿格云枢EDR也捕获到诸多木马样本:如XX市场业务部招聘jd&福利“、个人简历docx.rar、VX截图_20240731.exe 、图片文件-XXX公司相关问题咨询20240730.zip....
|
安全
端午小长假谨防挂马网站 病毒模仿杀软骗取钱财
随着端午小长假的临近,上网人数增加,这段时间的挂马网站和木马病毒都有肆虐的趋势。5月25日,瑞星“云安全”系统就从截获的挂马网站中,发现了一个冒充杀毒软件、企图骗取钱财的广告软件病毒,并命名为“WINPC 广告病毒(Adware.Win32.Agent.Dbj)”。
1095 0
|
安全
黑客、蠕虫和网络恐怖主义简史(组图)
从电话飞客到钓鱼者,从网络骗子到犯罪分子,心怀不轨的坏人们在互联网上真可谓找到了他们的用武之地。下面就让我们来看看这些网络罪犯们的发家编年简史。 1964 AT&T开始打击“电话飞客”,这是些利用音频发生器盗打电话的人。
1327 0
|
安全
变形金刚热映黑客借机“下毒” 用户谨防木马
6月24晚凌晨,备受全球“金粉”期待的大片《变形金刚2》火热登陆北京各大院线,票房再现“井喷”之势。与此同时,金山毒霸云安全中心从该片众多下载链接中,检测、拦截到诸多木马和病毒。金山毒霸反病毒专家李铁军提醒广大互联网用户:支持正版影片,谨慎选择互联网下载链接。
1008 0
|
Web App开发 安全 搜索推荐
刘谦春晚再掀魔术热 网上木马趁火打劫
春晚刘谦魔术的震撼上演,使得“魔术”一词迅速进入各大搜索引擎排行榜前列,引发了一股“魔术热”,各种魔术论坛、教学视频等网站人气飙升。据恶意网页监控系统发现,木马产业也趁火打劫,仅“爱魔术论坛”就有上百网页遭挂马,甚至连魔术用品专卖店也没能幸免。
928 0
|
安全
远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流
本文讲的是远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流,如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少“网盘不限速神器”或者“播放器VIP破解工具”。不过,这些“神器”既不靠谱更不安全,因为它们已经被木马盯上了。
1453 0
|
安全 数据库 数据安全/隐私保护
每天150亿起攻击 这是一个恐怖的企业安全故事!
本文讲的是每天150亿起攻击 这是一个恐怖的企业安全故事!,信息安全问题,是牌匾上凌厉的“生人勿近”,一旦遭遇,企业就只能自求多福?!
1100 0