0X01#
接到客户通知,发现疑似一份钓鱼邮件,要求进行研判并且溯源。
邮件大概如下:
0X02#
压缩包更改为 EML 之后打开文件,压缩包内容如下:
PS:此处的 index.exe 初始状态为 index.sc,为了方便分析这里改掉了原始后缀。其中最主要的可执行文件为 index.exe,作用是通过这个 exe 去拉起那个 html 文件。
刚好开始没明白意图是啥,众所周知,Windows 系统下是可执行文件的 PE 头如下:
直接打开的话状态如下:
这里有个令我感到疑惑的地方,这里面的这个.sc 文件是 EXE 格式的,但是在 Windows GUI 下面去点击 他是默认不会当作 exe 去执行的,只有 console 才会当作 EXE 去执行。
但是钓鱼吧,肯定需要 GUI 方式触发,这里又是这种写法。
猜测意图应该是还有其他东西把这个文件启动,要么就是搞错了。。
在这启动同目录下的 indexrcs.html
但目录下面的 html 文件叫 index, 这里实际启动的 html 文件名字和文件夹里的不符 。
感觉攻击者疏忽了。
并且微步 virustotal 都是全绿,后补一张图:
反虚拟机做的也不错, 检测你 temp 目录下面的文件,少于多少个,就不执行了。
正常物理机 temp 目录下几百个文件有的,虚拟机相对干净一些。
整体行为就是打开同路径的 index.html 文件,是一个正常的扫描报告,然后通过创建新线程的方式执行 shellcode,CS 木马,C2 地址:207.XXX.XXX.XXX。
0X03#
拿到 IP 之后,就可以尝试进行溯源了,对该 IP 进行情报收集
比较幸运的是发现了一个历史解析是一个 CN 域名
通过查询 whois 信息获取到注册人的邮箱信息和个人姓名。
对该邮箱进行历史信息关联可以得到以下结果:
姓名:xx 鑫
邮箱:***[email protected]
身份证号:440********16
手机号:176 *** 113
那么该如何确定他是此 IP 是否为真实的攻击者呢?
如上面所述,可以查询 IP 段是哪个机房的机器,通过对 IP 的查询,获得了对应的服务商是 vultr。
通过对 vultr 注册账号信息,得到结果:
即可以确认:该钓鱼邮件 / 恶意 IP / 域名 / 人 要素齐全 高强度关联。
同时利用情报获取到一封 PDF 文件。确定了该员工为某集团信息部员工。
再次感谢同事为我提供的病毒分析流程。
END。