0X01#
接到客户通知,发现疑似一份钓鱼邮件,要求进行研判并且溯源。
邮件大概如下:
0X02#
压缩包更改为EML之后打开文件,压缩包内容如下:
PS:此处的index.exe初始状态为index.sc,为了方便分析这里改掉了原始后缀。其中最主要的可执行文件为index.exe,作用是通过这个exe去拉起那个html文件。
刚好开始没明白意图是啥,众所周知,Windows系统下是可执行文件的PE头如下:
直接打开的话状态如下:
这里有个令我感到疑惑的地方,这里面的这个.sc文件是EXE格式的,但是在Windows GUI下面去点击 他是默认不会当作exe去执行的,只有console才会当作EXE去执行。
但是钓鱼吧,肯定需要GUI方式触发,这里又是这种写法。
猜测意图应该是还有其他东西把这个文件启动,要么就是搞错了。。
在这启动同目录下的indexrcs.html
但目录下面的html文件叫index, 这里实际启动的html文件名字和文件夹里的不符 。
感觉攻击者疏忽了。
并且微步 virustotal都是全绿,后补一张图:
反虚拟机做的也不错, 检测你temp目录下面的文件,少于多少个,就不执行了。
正常物理机temp目录下几百个文件有的,虚拟机相对干净一些。
整体行为就是打开同路径的index.html文件,是一个正常的扫描报告,然后通过创建新线程的方式执行shellcode,CS木马,C2地址:207.XXX.XXX.XXX。
0X03#
拿到IP之后,就可以尝试进行溯源了,对该IP进行情报收集
比较幸运的是发现了一个历史解析是一个CN域名
通过查询whois信息获取到注册人的邮箱信息和个人姓名。
对该邮箱进行历史信息关联可以得到以下结果:
姓名:xx鑫
邮箱:****5@qq.com
身份证号:440********16
手机号:1768****113
那么该如何确定他是此IP是否为真实的攻击者呢?
如上面所述,可以查询IP段是哪个机房的机器,通过对IP的查询,获得了对应的服务商是vultr。
通过对vultr注册账号信息,得到结果:
即可以确认:该钓鱼邮件/恶意IP/域名/人 要素齐全 高强度关联。
同时利用情报获取到一封PDF文件。确定了该员工为某集团信息部员工。
END。
