1. Arkaplan
Tencent Yujian Tehdit İstihbarat Merkezi geçtiğimiz günlerde iş mektubu Truva atı ailesinin en son varyant saldırısını tespit etti. Saldırgan, lnk dosyasını sıkıştırılmış bir pakete resim olarak gizlenmiş bir şekilde yerleştirir ve ardından hedef posta kutusuna bir e-posta eki olarak gönderir. Saldırıya uğrayan kişi e-postayı aldığında ve ekteki "resmi" tıklatıp görüntülemeye çalıştığında, lnk dosyası şunu işaret eder: Mshta betiği veya powershell kötü amaçlı kod hemen çalıştırılacaktır.
Kötü amaçlı kod önce saldırıyı örtmek için kullanılan bir resmi indirir ve açar, arka planda çalıştırmak için ticari casus yazılım NanoCoreRAT indirilir.Bu ticari casus yazılım, kurbanın bilgisayarını tamamen kontrol edebilir, herhangi bir dosya verisini çalabilir ve anahtar şifre bilgilerini çalmak için tuş kaydı yapabilir. , Herhangi bir programı indirin ve çalıştırın, zehirlenmiş bilgisayarın ses ve kamera ekipmanını kontrol edin ve ayrıca hedef bilgisayarda bir hizmet reddi saldırısı (DoS) gerçekleştirmek için uzaktan komutları kabul edebilir.
Geçmiş iş mektubu kimlik avı e-posta saldırılarında, kelime dosyaları aldatıcı bir şekilde açmak için e-posta ekleri olarak kullanılıyordu ve Office'teki yüksek riskli güvenlik açıkları (CVE-2017-11882, CVE2017-8759) saldırıları esas olarak belgeler aracılığıyla tetikleniyordu.Bu sefer keşfedilen saldırılar doğrudan kötü amaçlı kodlar gönderiyordu. Lnk dosyası yürütüldü. Kullanıcı sahte resim dosyasını çift tıkladığında, yalnızca ürün bilgilerini gördüğünü düşünür, ancak aslında RAT (uzaktan kumanda) Truva Atı indirilmiş ve çalıştırılmıştır. Bu tür saldırı, basit bir yapıya sahiptir ve saldırı komut dosyası kodunu esnek bir şekilde değiştirebilir.Kötü amaçlı kodun yürütülmesi, bilgisayar güvenlik açıklarının kullanılmasını gerektirmez. Oldukça gizlidir ve aldatıcıdır ve ilgili sektör personeli için büyük bir tehdit oluşturur.
Hem Tencent Bilgisayar Yöneticisi hem de Tencent Yudian Terminal Güvenlik Yönetim Sistemi, iş mektubu virüsü tarafından bu saldırıya karşı başarılı bir şekilde savunma yapabilir.
İki, yük teslimatı
Bilgisayar korsanı, hedef kişiye posta gönderir.
E-postada ekin içeriğinin ürün bilgisi olduğu belirtildi ve fiyatla ilgili görüşler ileri sürüldü.
Ek sıkıştırılmış paketteki dosya soneki .jpg.lnk'dir, ancak bir resim dosyası değil, kısayoldur (lnk dosyası).
Birden çok benzer e-posta eki analiz edildiğinde, kısayollarda gizlenen kötü amaçlı kodun iki türe ayrıldığı bulundu:
Biri uzak mshta betiğini indirip çalıştırmak, diğeri ise uzak Powershell betiğini indirip çalıştırmak ve indirme adresi 77.73.68.175.
Analiz için hxxp: //77.73.68.175/BwVuHr/cabinm/nap.hta Hta betiğini indirin ve kodun gizlenmiş olduğunu ve şifre çözme işlevlerini içerdiğini bulun:
Komut dosyası çalıştırıldığında, şifrelenmiş içeriğin şifresi, şifre çözme işlevi aracılığıyla çözülür:
Şifresi çözülen kod bir Powershell betiğidir. Komut dosyası ilk olarak hxxp: //excursiionline.ro/cgib/159.jpg resmini indirir ve açar. Resim, çalışma kitabının Excel'i okuyamadığını bildirir ve işe alan kişinin yanlışlıkla ekteki veri biçiminin desteklenmediğine inanmasına neden olur. .
Ardından hxxp: //77.73.68.175/BwVuHr/cabinm/nap.exe Truva atını indirin, Truva atı dosya adı olarak üç rastgele karakter alın ve Truva atını C: \ Users \ Public \ xxx.exe dizinine kaydedin ve Başlat- komutunu kullanın. İşlem, Truva atı yürütmesini başlatır.
3. RAT (uzaktan kumanda) Truva Atı
Lnk dosyasının açılması, Truva Atı'nın indirilmesine ve C: \ Users \ Public \ dizinine kaydedilmesine neden olur. Truva atı kabuğu VB dilinde yazılmıştır ve temel kod aslında ticari casus yazılım NanoCoreRAT'tır:
Çalıştırdıktan sonra, kendini Temp dizinine kopyalayın ve Trojan'ı başlatmak için From1Galo.vbs VBS komut dosyasını oluşturun:
VBS komut dosyasını kayıt defteri başlangıç anahtarına ekleyin:
HKEY_CURRENT_USER \ Yazılım \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ Form1MOTOTruva Atı'nı başlatmak için zamanlanmış bir görev oluşturun:
Zamanlanmış görev adı: SCSI Alt Sistemi
Ayrıca kendisini yazılım dizinine kopyalayacak ve Truva atının kalma olasılığını artırmak için başka bir kopya olarak çalıştıracaktır:
C: \ Program Dosyaları (x86) \ SCSI Alt Sistemi \ scsiss.exe(SCSI arabirim aygıt programı olarak gizlenmiş) ve kayıt defteri aracılığıyla başlangıç öğeleri ekleyin:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows \ CurrentVersion \ Run \ SCSI Alt SistemiZamanlanmış görev başlangıcı ekle:
Zamanlanmış görev adı: SCSI Alt Sistem Görevi
Analizler, Truva Atı'nın ticari bir gizli çalma yazılımı olan NanoCoreRAT olduğunu ve ana işlevi virüslü kullanıcıların hassas bilgilerini ve parolalarını çalmak olduğunu ve ayrıca birden çok eklenti işlevini desteklediğini ortaya koydu.
Bir% appdata% Roaming klasörü oluşturun, geçerli saati run.dat'a yazın ve bu dizine kaydedin, ilgili yapılandırmayı almak için yapılandırma bilgilerini bir sözlüğe koyun ve bu bilgilere dayalı olarak ilgili işlemleri gerçekleştirin. Otomatik başlatmayı ayarlayın, UAC'yi atlayın, erişim izinlerini ayarlayın, eklentileri yükleyin, vb. Ve elde edilen klavye giriş bilgilerini şifreleyin ve Logs dizinine kaydedin.
Truva Atı, aşağıdaki işlevleri gerçekleştirmek için uzaktan komutlar alır:
1. Anahtar kayıt
2. "Stres Testi" veya DDoS
3. Diğer yazılımları indirin, çalıştırın veya kurun
4. Uzak CLI ve UI
5. Kayıt defteri düzenleme
6. SOCKS vekil
7. Güvenlik duvarı değişikliği
8. Web kamerası ve ses kontrolü
Truva Atı CC sunucusuna bağlanır, kullanıcı bilgilerini yükler ve sonraki talimatları alır Bu örnekte bulunan CC adresi: 194.5.98.79:9320
Dört, güvenlik önerileri
1. Bilinmeyen kaynaklardan gelen e-posta eklerini açmayın, dosyaları Explorer'da görüntüleme seçeneğini değiştirebilirsiniz: "Dosya uzantılarını görüntülemek için seçin". İki uzantıya sahip herhangi bir dosya bulursanız, çok dikkatli olmanız gerekir.
2. Sistem yamalarını ve önemli yazılım yamalarını zamanında uygulayın;
3. Olası virüs Truva atı saldırılarına karşı korunmak için anti-virüs yazılımı kullanın;
4. Tencent Yujie gelişmiş tehdit algılama sistemini kullanın. Yujie Advanced Threat Detection System, Tencent'in anti-virüs laboratuvarının güvenlik yeteneklerine dayalı olarak geliştirilen ve Tencent'in bulut ve uçtaki devasa verilerine dayanan benzersiz bir tehdit istihbaratı ve kötü niyetli algılama modeli sistemidir.
IOC'ler
IP
77.73.68.175
194.5.98.79
94.100.18.101
URL
hxxp: //77.73.68.175/LUvUtvw/PO4506748678.jpg.zip
hxxp: //77.73.68.175/LUvUtvw/out-1331592449.ps1
hxxp: //77.73.68.175/BwVuHr/cabinm/nap.hta
hxxp: //77.73.68.175/LUvUtvw/out-512330769.ps1
hxxp: //77.73.68.175/LUvUtvw/out-2117802234.ps1
hxxp: //77.73.68.175/BwVuHr/cabinm/nap.exe
hxxp: //excursiionline.ro/cgib/159.jpg
Md5
95d241d7748e60423779db4e31595aa3
f059cbce29ab770bddf628f1a921477a
3d4c124df87c3be8d49e49b07a16be84
13654be48ee95fcb4c7d9ee8addf7876
00143acfa694db7393293dda936f6b1c
8cd1e7208641d4c1050a8ced8bec48bf
9f8f5fa0a7966755f4e0797e42e03d41
9203483e93815aa5aafa741edae2b21b
b57b9c113ca398d017b587fbdbeb8734
37886213afee09067d07e0cc973c001f
39aef29d0b341498cdf7f87963369120
fdd99e434664fa04aec707d9f36c9670
204e7679f29b04b3605ddce5c78493bf
22f9bf146e16ef3da4702aadb5afa645
c18bc555dbac0385d2ca58f813f8d3db
3b59af680e370a84a066bb15dfa41000
07e7a14e2e05af9de1562decc12ac5c5
ed06f19eff1bd501bc295b114806124b
9396d2a5f881ead48bdfaafb405b9186
76def4416fdc6f92053b199405470269
4f5fe0af211aa19d4b3f0682e39898cc
* Yazar: Tencent bilgisayar hizmetçisi, FreeBuf.COM'dan yeniden basılmıştır.