freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    “商贸信”病毒:外贸行业的梦魇
    2017-12-06 22:33:39

    12月5号,腾讯安全御见情报中心预警:一款针对外贸行业的“商贸信”病毒,利用CVE-2017-11882漏洞的Word文档伪装成采购清单、帐单等文件,通过邮件在全球外贸行业内大量传播,仅一天时间国内就有约10万多国内用户收到此类钓鱼邮件。

    1.jpg

    0x01 “商贸信“的危害

    “商贸信”诱饵文档内的恶意Shellcode一旦被触发,Shellcode就会从攻击者的云端下载远控木马,这个木马可以窃取比特币、银行卡、邮箱、社交软件等等上百种帐号及敏感信息,使受害者蒙受经济损失。同时该木马还带DDoS功能,对其他的网络目标发起攻击。

    另外从“商贸信”攻击对象来看,大多数为外贸从业人员,目标精准,目的简单。

    1、 鱼叉钓鱼攻击的一个显著特点就是利用极具诱惑力的名称为诱饵,以提升钓鱼文件的点击执行率。邮箱是外贸从业人员交流沟通的主要渠道之一,供应商/客户收发帐单、订单等邮件也是一种常态,所以通过帐单、订单等诱饵文档可以最大限度提升文件的点击率。

    2、 鱼叉钓鱼攻击的另一个特点就是发送邮件给特定的目标群体。而开放、发达的互联网为精准获取外贸邮箱提供了一个良好的环境。

    a) 外贸邮箱搜索也是外贸业务人员开拓国际业务的常用方法之一,通过搜索引擎、Skype、网页源代码以及搜邮神器等渠道或软件,可以精准搜索到一些外贸邮箱。

    b) 为寻求更大的商机,外贸业务人员也会通过各种渠道主动派发自己的电子名片等信息,在一些网站、论坛留下邮箱痕迹。

    3、 攻击者的目的是谋财。外贸从业者出于外贸业务的需要,往往会有多国银行帐号信息,经常通过线上进行国际汇兑业务。窃取银行帐号,显然是一个很不错的主意。此外,外贸从业者邮箱联系人、邮箱、社交网络帐号等一些商业机密也极为珍贵。攻击者得到这些信息之后,除了直接窃取个人资产、贩卖个人信息获利之外,通过窃取的邮箱、社交网络帐号继续寻找下一批攻击者也是一个很好的思路。

    0x02 传播方式

    鱼叉式钓鱼邮件传播

    从邮件内容来看,邮件将漏洞利用的DOC Word文件重命名为PI.doc、PurchaseOrder.doc等帐单、订单文件,并通过相应帐单、订单等邮件内容引导收件人打开查看。如上文所述,收发帐单、订单这种内容邮件对于外贸从业人员是一种常态,收到此类邮件时,且还有一个极具说服力的邮件内容时,很多收到邮件的业务人员都会下载查阅附件。

    此时如果用户在没有开启电脑管家等安全防护软件,且使用没有修复CVE-2017-11882漏洞的Office打开此文档,就会触发漏洞中的恶意代码,然后恶意代码从C2服务器下载并运行木马病毒。

    2.jpg

    (攻击邮件截图)

    3.jpg

    (邮件内容翻译)

    受攻击者分布

    最近2天,黑客向全球150万外贸从业者发送了钓鱼邮件。其中,中国和美国为主要攻击对象。在国内,受攻击者主要集中在台湾、珠三角、长三角等外贸行业相对发达的地区。

    4.jpg

    5.jpg

    0x03 CVE-2017-11882介绍

    11月14日,微软按照惯例发布了11月的安全更新,随后不久,安全公司EMBEDI在官方博客上公开了其向微软提交的编号为CVE-2017-11882的Office远程代码执行漏洞,讲述了他们如何发现这个漏洞的过程,并揭露了该漏洞的部分技术细节。随后漏洞验证代码(PoC)被公开,可通过Github等渠道下载。

    该漏洞的利用代码非常简单而且稳定,极易用于黑客攻击,特别是钓鱼邮件攻击:利用漏洞可以很容易构造出包括恶意代码的Office文档,点击后无需任何用户交互就可以远程执行任意代码。同时,漏洞影响所有的Microsoft Office版本以及Office 365。意识到问题的严重性之后,我们发布了CVE-2017-11882的多次预警通告。

    详情可查看《危机四伏的Office高危漏洞CVE-2017-11882》

    0x04 技术分析

    该木马会收集各种软件信息、系统信息、文件信息,并通过木马定制窃取FTP客户端、浏览器数据、邮箱帐号信息、比特币钱包等隐私数据,涉及的软件/客户端有上百款:

    6.jpg

    木马运行流程

    木马会从资源中解密Shellcode加载&执行利用“借尸”方法创建一个僵尸进程,继而执行注入恶意Shellcode。

    1、 恶意Shellcode会进行反虚拟机、反沙盒等反调试措施

    7.jpg

    判断自己是否在虚拟机中运行

    2、 然后在%Appdata%目录下创建一个名为BLD93115RWR文件夹,将自己复制到文件下,伪装命名为svchost.exe,通过设置注册表自启动

    8.jpg

    9.jpg

    10.jpg

    3、 恶意代码可以同时包含数百个窃取信息的函数,每个函数可以针对一种或一类软件进行信息窃取,罗列了几种窃取场景:

    ① 窃取Safari 浏览器帐号密码存储

    Keychain.plist存放着Safari 浏览器记录的帐号密码信息,通过命令

    将Keychain.plist转换成xml文件,再利用windows Windows DPAPI 可以轻易解密加密后的帐号密码。

    11.jpg

    转换XML的命令行如下:

    plutil.exe -convert xml1  -s  -o c:\keychain.xml "c:\users\administrator\appdata\roaming\apple

    computer\preferences\keychain.plist"

    ② 窃取Chorme浏览器的密码存储

    通过查找文件,索引数据库表项,获取敏感信息

    12.jpg

    13.jpg

    14.jpg

    ③ 窃取FileZilla帐号密码

    FileZilla是一款包含服务端和客户端的FTP软件。木马可通过查找FileZilla相关xml文件获取到帐号信息。

    15.jpg

    16.jpg

    ④ 窃取OutLook邮箱信息

    通过查询注册表获取邮箱信息

    17.jpg

    18.jpg

    ⑤ 窃取比特币信息

    比特币钱包的wallet.dat文件对于比特币账户来说非常重要,文件里存有私钥信息,如果没有通过严格加密,是完全有可能造成私钥泄漏,出现比特币被盗的。

    19.jpg

    4、 收集完用户隐私信息后,木马会开启线程监听模式,先将收集到的信息返回给C2服务器,,等待C2服务器下一步指令,进入云控模式

    20.jpg

    5、 其远控指令

    a) C2服务器地址为:

    hxxp://viz.fisbonline.com/jad/nu/tasks.php

    b) 指令功能为:

    21.jpg

    0x05 解决方案&安全建议

    解决方案

    1、 安装漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

    2、 安装安全软件,电脑管家目前能拦截该漏洞的攻击。

    3、 禁用公式编辑器组件:

    a) 可以通过运行如下命令禁用Office编辑器:

    reg add"HKLMSOFTWAREMicrosoftOfficeCommonCOMCompatibility{0002CE02-0000-0000-C000-000000000046}" /v"Compatibility Flags" /t REG_DWORD /d 0x400

    b) 对于 x64 OS 中的32位Microsoft Office 软件包, 运行以下命令:

    reg add"HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM  Compatibility{0002CE02-0000-0000-C000-000000000046}"/v "Compatibility Flags" /t REG_DWORD /d 0x400

    4、 企业网管,可以过滤IOCs里的邮件发件人的一切邮件。

    5、 企业网管,可以为防火墙新增IOCs里ip和url的拦截。

    安全建议

    电脑管家安全专家建议用户特别警惕来历不明的邮件,勿随意点击其中的超链接、点开其中的附件,及时修补系统和Office相关漏洞,以防止黑客攻击。

    此外,保持电脑管家的正常开启,可拦截此类漏洞攻击。

    22.jpg

    附录

    1. Email:

    twkang@michangoil.com

    Admin@brsalesandleasing.com

    andy@archgon.com

    anita@china-hddn.com

    anrong@sh-anrong.com

    artwork@pingline.com

    business@gzsc.cn

    by@cnbaoyuan.com

    Career@Resourcery.com

    carlos@smacargomovers.com

    ……

    2. IPs

    176.107.178.12

    185.117.73.19

    185.175.208.10

    185.62.189.215

    3. C2

    hxxp://mec.hiboxlhinet.me/mec/nu/tasks.php

    hxxp://viz.fisbonline.com/jad/nu/tasks.php

    hxxp://blaztech.us/.en/image/fre.php 

    hxxp://185.82.202.75/~zadmin/ap/mime.php

    hxxp://acmep-tech.com/101/loki/fre.php

    hxxp://ruralbiznex.bid/164/ponnie/access.php

    hxxp://glswanky.bid/188/ponnie/access.php

    hxxp://kidapunch.club/193/ponnie/access.php

    hxxp://tereshpc.bid/195/ponnie/access.php

    hxxp://acmep-tech.com/202/loki/fre.php

    hxxp://aprillogs.sytes.net

    hxxp://olagoke.brasilia.me

    ……

    4. 可执行文件

    0d0d2b468fadbb741fa98b0f974efb378e204064

    f82512dbd19c8cfd11af63c947ae73d33e05cf0b

    c6701762543bb18cf4e7018286d551523f2b0949

    15d0a01f45d1a71abce3ade1c164eb63716b3246

    9f07aa80e62931a1de8df7ba22414c111d9edb48

    c1803ec9ad06ad861bb3d87c2e386c204ccdb0aa

    59bc7d63cf0331b1efa1b9ef7e55018b68a2ec2a

    179dc4b21fa66528bcf2e5d67faf53169eda8248

    44ac2504a02af84ee142adaa3ea70b868185906f

    189d9b15590a78e6c66683c67c453c3c08a7cb95

    cfc6f83e9c89c4a553a2251eded238c4c464d901

    fb36241378e9c39c3b898f609a9b461a401415cd

    51be9a9f4ed927aeb21dd561352e790c606efad8

    8e78cc394bad16465392c47b9d2c740fdb3aeb16

    1083245ac66d4261f526d18d4eac79a7dbd72989

    5ef9515e8fd92a254dd2dcdd9c4b50afa8007b8f

    2ecce275da48ada8e7a8ba8cb407ff8aba2ec616

    a5c153adadd1d222347eeb59523c316e131c003e

    ……

    本文作者:, 转载请注明来自FreeBuf.COM

    # 病毒木马 # 漏洞利用
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    评论 按时间排序

    登录/注册后在FreeBuf发布内容哦

    相关推荐
    • 0 文章数
    • 0 评论数
    • 0 关注者
    登录 / 注册后在FreeBuf发布内容哦
    收入专辑