0X01#
顧客からの通知を受け、フィッシングメールの疑いがあるため、評価と追跡を行うことになりました。
メールの内容は以下の通りです:
0X02#
圧縮ファイルを EML に変更してファイルを開くと、圧縮ファイルの内容は以下の通りです:
PS:ここでの index.exe の初期状態は index.sc であり、分析を容易にするために元の拡張子を変更しました。主な実行可能ファイルは index.exe であり、この exe を通じてその html ファイルを起動します。
最初は意図がわからなかったが、Windows システム下での実行可能ファイルの PE ヘッダーは以下の通りです:
直接開くと状態は以下の通りです:
ここで私が疑問に思ったのは、この.sc ファイルは EXE 形式ですが、Windows GUI でクリックしてもデフォルトでは exe として実行されないことです。コンソールのみが EXE として実行されます。
しかしフィッシングの場合、GUI 方式でトリガーする必要があるため、ここでの書き方は不自然です。
意図は他の何かがこのファイルを起動することか、あるいは間違っているのかもしれません。。
同じディレクトリ内の indexrcs.html を起動します。
しかしディレクトリ内の html ファイルは index と呼ばれており、実際に起動する html ファイルの名前がフォルダ内のものと一致しません。
攻撃者が見落としたように感じます。
さらに微步や virustotal は全て緑です。後で追加した画像:
仮想マシンに対する対策も良好で、temp ディレクトリ内のファイルが少ない場合は実行されません。
通常の物理マシンの temp ディレクトリには数百のファイルがあるのに対し、仮想マシンは比較的クリーンです。
全体の行動は同じパスの index.html ファイルを開くことで、これは正常なスキャンレポートであり、新しいスレッドを作成することでシェルコードを実行し、CS トロイの木馬、C2 アドレス:207.XXX.XXX.XXX を使用します。
0X03#
IP を取得した後、追跡を試みることができ、その IP に対して情報収集を行います。
幸運なことに、歴史的な解析で CN ドメインが見つかりました。
whois 情報を調べることで、登録者のメール情報と個人名を取得しました。
このメールアドレスに対する歴史的情報の関連付けにより、以下の結果が得られました:
名前:xx 鑫
メール:***[email protected]
身分証番号:440********16
電話番号:176 *** 113
では、どのようにしてこの IP が本当の攻撃者であるかを確認するのでしょうか?
上記のように、IP セグメントがどのデータセンターのマシンであるかを調べ、IP を調査することで、対応するサービスプロバイダーが vultr であることがわかりました。
vultr の登録アカウント情報を調べた結果:
つまり確認できるのは:このフィッシングメール / 悪意の IP / ドメイン / 人の要素が全て揃っており、高強度の関連性があります。
同時に情報を利用して PDF ファイルを取得しました。この従業員があるグループの情報部の従業員であることを確認しました。
改めて、ウイルス分析プロセスを提供してくれた同僚に感謝します。
END。