0X01#
接到客戶通知,發現疑似一份釣魚郵件,要求進行研判並且溯源。
郵件大概如下:
0X02#
壓縮包更改為 EML 之後打開文件,壓縮包內容如下:
PS:此處的 index.exe 初始狀態為 index.sc,為了方便分析這裡改掉了原始後綴。其中最主要的可執行文件為 index.exe,作用是通過這個 exe 去拉起那個 html 文件。
剛好開始沒明白意圖是啥,眾所周知,Windows 系統下是可執行文件的 PE 頭如下:
直接打開的話狀態如下:
這裡有個令我感到疑惑的地方,這裡面的這個.sc 文件是 EXE 格式的,但是在 Windows GUI 下面去點擊 他是默認不會當作 exe 去執行的,只有 console 才會當作 EXE 去執行。
但是釣魚吧,肯定需要 GUI 方式觸發,這裡又是這種寫法。
猜測意圖應該是還有其他東西把這個文件啟動,要麼就是搞錯了。。
在這啟動同目錄下的 indexrcs.html
但目錄下面的 html 文件叫 index, 這裡實際啟動的 html 文件名字和文件夾裡的不符 。
感覺攻擊者疏忽了。
並且微步 virustotal 都是全綠,後補一張圖:
反虛擬機做的也不錯, 檢測你 temp 目錄下面的文件,少於多少個,就不執行了。
正常物理機 temp 目錄下幾百個文件有的,虛擬機相對乾淨一些。
整體行為就是打開同路徑的 index.html 文件,是一個正常的掃描報告,然後通過創建新線程的方式執行 shellcode,CS 木馬,C2 地址:207.XXX.XXX.XXX。
0X03#
拿到 IP 之後,就可以嘗試進行溯源了,對該 IP 進行情報收集
比較幸運的是發現了一個歷史解析是一個 CN 域名
通過查詢 whois 信息獲取到註冊人的郵箱信息和個人姓名。
對該郵箱進行歷史信息關聯可以得到以下結果:
姓名:xx 鑫
郵箱:***[email protected]
身份證號:440********16
手機號:176 *** 113
那麼該如何確定他是此 IP 是否為真實的攻擊者呢?
如上面所述,可以查詢 IP 段是哪個機房的機器,通過對 IP 的查詢,獲得了對應的服務商是 vultr。
通過對 vultr 註冊賬號信息,得到結果:
即可以確認:該釣魚郵件 / 惡意 IP / 域名 / 人 要素齊全 高強度關聯。
同時利用情報獲取到一封 PDF 文件。確定了該員工為某集團信息部員工。
再次感謝同事為我提供的病毒分析流程。
END。