安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2018-12-06 00:08:00  来源:本站整理

仿冒签名攻击频现 针对外贸行业精准钓鱼[安全新闻]

赞助商链接



  本文“仿冒签名攻击频现 针对外贸行业精准钓鱼[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:


 
近期,360核心安全团队监测到一类针对外贸行业人员进行攻击的木马正在传播,该类木马被包含在钓鱼邮件附件的PPT文档中,所携带的数字签名仿冒了知名公司“通达信”的签名。

攻击过程
仿冒“通达信”签名的木马主要通过两种方式进行传播,一种是通过给特定目标群体发送钓鱼邮件,另一种则是通过早已潜伏很久的“乱世”木马来运行。

本文主要介绍通过钓鱼邮件的攻击手法。作案团伙精心制做多种PPT文档,分别针对不同的目标人员伪装文档内容,并通过邮件附件进行传播,诱导用户下载点击运行。如下是其中一例传播的样本,该诱导附件伪装成某“空气清新器”相关的幻灯片文档。

直接打开该文档后,将自动运行办公软件如Office PPT或WPS PPT程序来播放全屏幻灯片如下,此时只要移动一下鼠标,或者因为看见其中的播放按钮而点击幻灯片的话,就会触发运行木马程序的动作。由于这种直接执行程序的动作比较危险,所以一般办公软件都会弹出警告提示让用户选择是否执行,尽管如此仍有不少用户会因为不慎点击“确定”,或者因为不断的触发动作导致不停地弹窗,最终让木马程序运行起来。

一旦得到运行机会,PPT软件将释放木马程序到临时目录,并命名成伪装的Office批处理程序运行起来,实际上该程序就是带有仿冒“通达信”数字签名的木马。

经过测试,这种运行木马的方式成功率较高,主要原因是木马作者将该PPT文档的拓展类型做成自动放映文件(“.ppsx”),并在其中设置了可不断触发的对象动作。通常PPT文档的保存格式是”.ppt”或”.pptx”,打开后不会自动全屏播放幻灯片,如下将样本拓展名改成”.pptx”后打开文档,可以看到其中插入的一个外部对象,并对该对象设置了“自定义动画”。

如果只是插入可以点击执行的外部程序对象可能成功率相对较低,但是木马作者又很猥琐地对该对象设置了“鼠标移过”和“鼠标单击”的触发动作,只要在全屏播放文档的过程中移动鼠标就会不断的触发打开木马程序的动作,不厌其烦地弹出安全警告,大大提高了木马运行的成功率。

木马分析
通过上述的攻击手法,木马被成功运行起来开始工作。首先定位到木马程序的释放位置,查看一下该程序的外貌特征,发现不仅程序的文件版本信息伪装成了“有道”PDF文档转换器,程序代码也被加了一层“Themida”强壳。

通过调试工具对木马程序进行脱壳处理后进一步跟踪,发现该程序只是个加载器,其工作是在内存中解密出一个真正工作的核心DLL模块并加载执行,加载过程是先检查PE头部的数据格式后再分配内存进行LoadPE。

加载完核心DLL模块后,随即通过解析PE结构获取导出函数“Shellex”的地址,然后调用该模块的导出函数“Shellex”进行工作。

进入工作流程后,木马模块首先联网下载一个迷惑性的PPT文档“stick1.ppsx”,下载地址为:“hxxp://139.159.132.114:988/ppt/stick1.ppsx”。

随后木马打开该PPT文档进行播放,用于给目标用户展示感兴趣的内容,目的是降低用户的警觉性。PPT文档共有两张幻灯片,内容仍然是“空气清新器”相关。

当然,播放“空气清新器”相关的PPT只是表面工作,木马程序则已经在后台继续偷偷地运行。为了持久化,木马程序首先添加自启动,实现方式是通过”DefineDosDeviceA”创建一个该程序在系统“启动”目录的Dos符号链接,然后把自身拷贝到该符号链接路径来间接地完成将木马程序拷贝到自启动目录的任务。

[1] [2]  下一页


  以上是“仿冒签名攻击频现 针对外贸行业精准钓鱼[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • 仿冒签名攻击频现 针对外贸行业精准钓鱼
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .