“商贸信”病毒:外贸行业的梦魇

12月5号,腾讯安全御见情报中心预警:一款针对外贸行业的“商贸信”病毒,利用CVE-2017-11882漏洞的Word文档伪装成采购清单、帐单等文件,通过邮件在全球外贸行业内大量传播,仅一天时间国内就有约10万多国内用户收到此类钓鱼邮件。

12月5号,腾讯安全御见情报中心预警:一款针对外贸行业的“商贸信”病毒,利用CVE-2017-11882漏洞的Word文档伪装成采购清单、帐单等文件,通过邮件在全球外贸行业内大量传播,仅一天时间国内就有约10万多国内用户收到此类钓鱼邮件。

1.jpg

0×01 “商贸信“的危害

“商贸信”诱饵文档内的恶意Shellcode一旦被触发,Shellcode就会从攻击者的云端下载远控木马,这个木马可以窃取比特币、银行卡、邮箱、社交软件等等上百种帐号及敏感信息,使受害者蒙受经济损失。同时该木马还带DDoS功能,对其他的网络目标发起攻击。

另外从“商贸信”攻击对象来看,大多数为外贸从业人员,目标精准,目的简单。

1、 鱼叉钓鱼攻击的一个显著特点就是利用极具诱惑力的名称为诱饵,以提升钓鱼文件的点击执行率。邮箱是外贸从业人员交流沟通的主要渠道之一,供应商/客户收发帐单、订单等邮件也是一种常态,所以通过帐单、订单等诱饵文档可以最大限度提升文件的点击率。

2、 鱼叉钓鱼攻击的另一个特点就是发送邮件给特定的目标群体。而开放、发达的互联网为精准获取外贸邮箱提供了一个良好的环境。

a) 外贸邮箱搜索也是外贸业务人员开拓国际业务的常用方法之一,通过搜索引擎、Skype、网页源代码以及搜邮神器等渠道或软件,可以精准搜索到一些外贸邮箱。

b) 为寻求更大的商机,外贸业务人员也会通过各种渠道主动派发自己的电子名片等信息,在一些网站、论坛留下邮箱痕迹。

3、 攻击者的目的是谋财。外贸从业者出于外贸业务的需要,往往会有多国银行帐号信息,经常通过线上进行国际汇兑业务。窃取银行帐号,显然是一个很不错的主意。此外,外贸从业者邮箱联系人、邮箱、社交网络帐号等一些商业机密也极为珍贵。攻击者得到这些信息之后,除了直接窃取个人资产、贩卖个人信息获利之外,通过窃取的邮箱、社交网络帐号继续寻找下一批攻击者也是一个很好的思路。

0×02 传播方式

鱼叉式钓鱼邮件传播

从邮件内容来看,邮件将漏洞利用的DOC Word文件重命名为PI.doc、PurchaseOrder.doc等帐单、订单文件,并通过相应帐单、订单等邮件内容引导收件人打开查看。如上文所述,收发帐单、订单这种内容邮件对于外贸从业人员是一种常态,收到此类邮件时,且还有一个极具说服力的邮件内容时,很多收到邮件的业务人员都会下载查阅附件。

此时如果用户在没有开启电脑管家等安全防护软件,且使用没有修复CVE-2017-11882漏洞的Office打开此文档,就会触发漏洞中的恶意代码,然后恶意代码从C2服务器下载并运行木马病毒。

2.jpg

(攻击邮件截图)

3.jpg

(邮件内容翻译)

受攻击者分布

最近2天,黑客向全球150万外贸从业者发送了钓鱼邮件。其中,中国和美国为主要攻击对象。在国内,受攻击者主要集中在台湾、珠三角、长三角等外贸行业相对发达的地区。

4.jpg

5.jpg

0×03 CVE-2017-11882介绍

11月14日,微软按照惯例发布了11月的安全更新,随后不久,安全公司EMBEDI在官方博客上公开了其向微软提交的编号为CVE-2017-11882的Office远程代码执行漏洞,讲述了他们如何发现这个漏洞的过程,并揭露了该漏洞的部分技术细节。随后漏洞验证代码(PoC)被公开,可通过Github等渠道下载。

该漏洞的利用代码非常简单而且稳定,极易用于黑客攻击,特别是钓鱼邮件攻击:利用漏洞可以很容易构造出包括恶意代码的Office文档,点击后无需任何用户交互就可以远程执行任意代码。同时,漏洞影响所有的Microsoft Office版本以及Office 365。意识到问题的严重性之后,我们发布了CVE-2017-11882的多次预警通告。

详情可查看《危机四伏的Office高危漏洞CVE-2017-11882》

0×04 技术分析

该木马会收集各种软件信息、系统信息、文件信息,并通过木马定制窃取FTP客户端、浏览器数据、邮箱帐号信息、比特币钱包等隐私数据,涉及的软件/客户端有上百款:

6.jpg

木马运行流程

木马会从资源中解密Shellcode加载&执行利用“借尸”方法创建一个僵尸进程,继而执行注入恶意Shellcode。

1、 恶意Shellcode会进行反虚拟机、反沙盒等反调试措施

7.jpg

判断自己是否在虚拟机中运行

2、 然后在%Appdata%目录下创建一个名为BLD93115RWR文件夹,将自己复制到文件下,伪装命名为svchost.exe,通过设置注册表自启动

8.jpg

9.jpg

10.jpg

3、 恶意代码可以同时包含数百个窃取信息的函数,每个函数可以针对一种或一类软件进行信息窃取,罗列了几种窃取场景:

① 窃取Safari 浏览器帐号密码存储

Keychain.plist存放着Safari 浏览器记录的帐号密码信息,通过命令

将Keychain.plist转换成xml文件,再利用windows Windows DPAPI 可以轻易解密加密后的帐号密码。

11.jpg

转换XML的命令行如下:

plutil.exe -convert xml1  -s  -o c:\keychain.xml “c:\users\administrator\appdata\roaming\apple

computer\preferences\keychain.plist”

② 窃取Chorme浏览器的密码存储

通过查找文件,索引数据库表项,获取敏感信息

12.jpg

13.jpg

14.jpg

③ 窃取FileZilla帐号密码

FileZilla是一款包含服务端和客户端的FTP软件。木马可通过查找FileZilla相关xml文件获取到帐号信息。

15.jpg

16.jpg

④ 窃取OutLook邮箱信息

通过查询注册表获取邮箱信息

17.jpg

18.jpg

⑤ 窃取比特币信息

比特币钱包的wallet.dat文件对于比特币账户来说非常重要,文件里存有私钥信息,如果没有通过严格加密,是完全有可能造成私钥泄漏,出现比特币被盗的。

19.jpg

4、 收集完用户隐私信息后,木马会开启线程监听模式,先将收集到的信息返回给C2服务器,,等待C2服务器下一步指令,进入云控模式

20.jpg

5、 其远控指令

a) C2服务器地址为:

hxxp://viz.fisbonline.com/jad/nu/tasks.php

b) 指令功能为:

21.jpg

0×05 解决方案&安全建议

解决方案

1、 安装漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

2、 安装安全软件,电脑管家目前能拦截该漏洞的攻击。

3、 禁用公式编辑器组件:

a) 可以通过运行如下命令禁用Office编辑器:

reg add"HKLMSOFTWAREMicrosoftOfficeCommonCOMCompatibility{0002CE02-0000-0000-C000-000000000046}" /v"Compatibility Flags" /t REG_DWORD /d 0x400

b) 对于 x64 OS 中的32位Microsoft Office 软件包, 运行以下命令:

reg add"HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM  Compatibility{0002CE02-0000-0000-C000-000000000046}"/v "Compatibility Flags" /t REG_DWORD /d 0x400

4、 企业网管,可以过滤IOCs里的邮件发件人的一切邮件。

5、 企业网管,可以为防火墙新增IOCs里ip和url的拦截。

安全建议

电脑管家安全专家建议用户特别警惕来历不明的邮件,勿随意点击其中的超链接、点开其中的附件,及时修补系统和Office相关漏洞,以防止黑客攻击。

此外,保持电脑管家的正常开启,可拦截此类漏洞攻击。

22.jpg

附录

1. Email:

twkang@michangoil.com

Admin@brsalesandleasing.com

andy@archgon.com

anita@china-hddn.com

anrong@sh-anrong.com

artwork@pingline.com

business@gzsc.cn

by@cnbaoyuan.com

Career@Resourcery.com

carlos@smacargomovers.com

……

2. IPs

176.107.178.12

185.117.73.19

185.175.208.10

185.62.189.215

3. C2

hxxp://mec.hiboxlhinet.me/mec/nu/tasks.php

hxxp://viz.fisbonline.com/jad/nu/tasks.php

hxxp://blaztech.us/.en/image/fre.php 

hxxp://185.82.202.75/~zadmin/ap/mime.php

hxxp://acmep-tech.com/101/loki/fre.php

hxxp://ruralbiznex.bid/164/ponnie/access.php

hxxp://glswanky.bid/188/ponnie/access.php

hxxp://kidapunch.club/193/ponnie/access.php

hxxp://tereshpc.bid/195/ponnie/access.php

hxxp://acmep-tech.com/202/loki/fre.php

hxxp://aprillogs.sytes.net

hxxp://olagoke.brasilia.me

……

4. 可执行文件

0d0d2b468fadbb741fa98b0f974efb378e204064

f82512dbd19c8cfd11af63c947ae73d33e05cf0b

c6701762543bb18cf4e7018286d551523f2b0949

15d0a01f45d1a71abce3ade1c164eb63716b3246

9f07aa80e62931a1de8df7ba22414c111d9edb48

c1803ec9ad06ad861bb3d87c2e386c204ccdb0aa

59bc7d63cf0331b1efa1b9ef7e55018b68a2ec2a

179dc4b21fa66528bcf2e5d67faf53169eda8248

44ac2504a02af84ee142adaa3ea70b868185906f

189d9b15590a78e6c66683c67c453c3c08a7cb95

cfc6f83e9c89c4a553a2251eded238c4c464d901

fb36241378e9c39c3b898f609a9b461a401415cd

51be9a9f4ed927aeb21dd561352e790c606efad8

8e78cc394bad16465392c47b9d2c740fdb3aeb16

1083245ac66d4261f526d18d4eac79a7dbd72989

5ef9515e8fd92a254dd2dcdd9c4b50afa8007b8f

2ecce275da48ada8e7a8ba8cb407ff8aba2ec616

a5c153adadd1d222347eeb59523c316e131c003e

……

取消
Loading...
css.php