免责声明
由于传播、利用本号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
钓鱼攻击是一种高度隐蔽且极具欺骗性的网络威胁,攻击者通过伪装成银行、保险公司、税务机构或其他可信机构的官方文件,诱导受害者点击下载恶意文件。而在生活和工作中,电子文档作为常用工具,可能也不会让我们“心生防备”。因此电子文档可以成为网络钓鱼攻击的常用媒介,攻击者可以通过表象的“电子文档”来掩盖快捷方式和隐藏文件夹实际的恶意行为,并且电子文档的复杂性和灵活性也导致恶意代码潜藏很深,难以被普通用户察觉,令个人和企业面临财务损失和数据泄露的风险。
近期,火绒威胁情报中心检测到恶意钓鱼PDF样本攻击量增多,且个别样本通过伪装成快捷方式和隐藏文件夹的方式进行传播。经火绒工程师分析,该木马程序采用双重攻击机制:一方面通过VBS脚本执行Python加载器,另一方面利用“白加黑”技术执行恶意文件,最终部署Cobalt Strike远控后门。建议日常可以通过关注可疑的发件人地址、不寻常的链接或过于紧急的要求来规避此风险。同时技术防护手段也不可或缺,如安装可靠的安全软件,对邮件和文件进行实时扫描和检测,监控异常的网络行为。目前,火绒安全产品已具备对该类恶意钓鱼PDF样本的精准识别与拦截能力,能够有效保障用户系统安全。为了进一步增强系统防护能力,火绒安全建议广大用户及时更新病毒库。这将确保您的系统能够抵御最新威胁,防范潜在安全风险。
查杀图
样本执行流程图如下:
流程图
样本分析
Loader动静态分析
该样本的初始传播载体是一个压缩包文件,其中包含被设置为受系统保护的隐藏文件夹(+s +h),能够利用快捷方式文件和隐藏的文件夹进行恶意钓鱼攻击。
木马快捷方式利用
默认隐藏受保护文件
显示木马文件夹
首先,样本通过隐藏的快捷方式文件触发WScript.exe,以执行文件夹中的恶意libmultiprocessing.vbs脚本。
执行恶意脚本
随后,通过该脚本获取当前目录并加载木马程序。具体执行流程如下:
调用Python加载Shellcode:首先,此脚本利用系统内的Python环境执行Python Loader。随后,利用Python Loader加载并执行一段Shellcode。该Shellcode用于实现后续操作中木马程序的下载与执行。
利用默认程序打开PDF:为了掩盖其恶意行为,此脚本会调用默认程序打开样本文件中的PDF文件,诱导用户认为当前操作处于正常状态。
启动白加黑木马:接着,此脚本进一步执行“白加黑”木马(即VMwareXferlogs.exe文件)。随后,该木马利用合法程序加载恶意DLL,以绕过安全软件的检测。
libmultiprocessing.vbs脚本
对其中的Python Loader进行分析发现,该Python Loader的核心功能是将整个Python程序打包进压缩包,并通过RC4对Linsce文件中的恶意代码Shellcode进行解密与内存加载。
Python程序打包
内存加载恶意代码
随后,解密恶意代码Shellcode并写入文件。
解密恶意代码
该恶意代码使用自修改代码(SMC)技术,通过动态调试,将解密后的程序从内存中重新转储(dump)。
对转储后的恶意代码进行分析发现,其首先会对PE文件进行修复,随后将PE代码加载到内存中以实现恶意行为。
修复PE
对内存中的PE文件转储(dump)进行分析发现,其为重写版的Cobalt Strike木马。对VMwareXferlogs.exe白加黑样本进行分析发现,其同样为重写版的Cobalt Strike木马。
BOF API
反射内存加载
后门分析
对Cobalt Strike后门进行分析发现,该后门首先判断系统时间是否达到2025年1月16日。若当前系统日期在2025年1月16日之前,则继续执行代码;否则将退出进程。
时间判断
接着,获取系统信息,并利用RSA与AES加密算法对这些信息进行加密,之后发送心跳包。
设置加密算法
获取系统信息
数据加密
随后,通过字符串解密(减去7和乘以16)算法解密配置信息。
字符解密算法
解密配置信息
之后,发送数据,接收回传数据,进行任务处理。
任务处理
该后门功能如下:
任务号与对应功能
获取进程列表
创建管道CMD执行命令
二 附录
C&C:
HASH:
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
)
