钓鱼攻击通过PDF文档暗投后门病毒
本帖最后由 火绒安全实验室 于 2025-2-28 10:10 编辑钓鱼攻击是一种高度隐蔽且极具欺骗性的网络威胁,攻击者通过伪装成银行、保险公司、税务机构或其他可信机构的官方文件,诱导受害者点击下载恶意文件。而在生活和工作中,电子文档作为常用工具,可能也不会让我们“心生防备”。因此电子文档可以成为网络钓鱼攻击的常用媒介,攻击者可以通过表象的“电子文档”来掩盖快捷方式和隐藏文件夹实际的恶意行为,并且电子文档的复杂性和灵活性也导致恶意代码潜藏很深,难以被普通用户察觉,令个人和企业面临财务损失和数据泄露的风险。
近期,火绒威胁情报中心检测到恶意钓鱼PDF样本攻击量增多,且个别样本通过伪装成快捷方式和隐藏文件夹的方式进行传播。经火绒工程师分析,该木马程序采用双重攻击机制:一方面通过VBS脚本执行Python加载器,另一方面利用“白加黑”技术执行恶意文件,最终部署Cobalt?Strike远控后门。建议日常可以通过关注可疑的发件人地址、不寻常的链接或过于紧急的要求来规避此风险。同时技术防护手段也不可或缺,如安装可靠的安全软件,对邮件和文件进行实时扫描和检测,监控异常的网络行为。目前,火绒安全产品已具备对该类恶意钓鱼PDF样本的精准识别与拦截能力,能够有效保障用户系统安全。为了进一步增强系统防护能力,火绒安全建议广大用户及时更新病毒库。这将确保您的系统能够抵御最新威胁,防范潜在安全风险。
查杀图
样本执行流程图如下:
流程图
一、样本分析Loader动静态分析该样本的初始传播载体是一个压缩包文件,其中包含被设置为受系统保护的隐藏文件夹(+s +h),能够利用快捷方式文件和隐藏的文件夹进行恶意钓鱼攻击。木马快捷方式利用默认隐藏受保护文件
显示木马文件夹
首先,样本通过隐藏的快捷方式文件触发WScript.exe,以执行文件夹中的恶意libmultiprocessing.vbs脚本。
执行恶意脚本
随后,通过该脚本获取当前目录并加载木马程序。具体执行流程如下:1.调用Python加载Shellcode:首先,此脚本利用系统内的Python环境执行Python Loader。随后,利用Python Loader加载并执行一段Shellcode。该Shellcode用于实现后续操作中木马程序的下载与执行。2.利用默认程序打开PDF:为了掩盖其恶意行为,此脚本会调用默认程序打开样本文件中的PDF文件,诱导用户认为当前操作处于正常状态。3.启动白加黑木马:接着,此脚本进一步执行“白加黑”木马(即VMwareXferlogs.exe文件)。随后,该木马利用合法程序加载恶意DLL,以绕过安全软件的检测。
libmultiprocessing.vbs脚本
对其中的Python Loader进行分析发现,该Python Loader的核心功能是将整个Python程序打包进压缩包,并通过RC4对Linsce文件中的恶意代码Shellcode进行解密与内存加载。Python程序打包
内存加载恶意代码
随后,解密恶意代码Shellcode并写入文件。
解密恶意代码
该恶意代码使用自修改代码(SMC)技术,通过动态调试,将解密后的程序从内存中重新转储(dump)。对转储后的恶意代码进行分析发现,其首先会对PE文件进行修复,随后将PE代码加载到内存中以实现恶意行为。
修复PE
对内存中的PE文件转储(dump)进行分析发现,其为重写版的Cobalt Strike木马。对VMwareXferlogs.exe白加黑样本进行分析发现,其同样为重写版的Cobalt Strike木马。BOF API
反射内存加载
后门分析对Cobalt Strike后门进行分析发现,该后门首先判断系统时间是否达到2025年1月16日。若当前系统日期在2025年1月16日之前,则继续执行代码;否则将退出进程。
时间判断
接着,获取系统信息,并利用RSA与AES加密算法对这些信息进行加密,之后发送心跳包。设置加密算法获取系统信息
数据加密
随后,通过字符串解密(减去7和乘以16)算法解密配置信息。字符解密算法
解密配置信息
之后,发送数据,接收回传数据,进行任务处理。
任务处理
该后门功能如下:任务号与对应功能获取进程列表
创建管道CMD执行命令
二、附录C&C:
HASH:
钓鱼攻击确实是一种非常危险的网络威胁,它利用人们的信任和疏忽来实施恶意行为。
针对提到的钓鱼PDF样本攻击的防护建议:
提高个人防范意识
1. 警惕可疑邮件:不要轻易点击来自不明发件人或包含不寻常链接的邮件中的任何按钮或附件。
2. 核实信息真实性:如果邮件声称来自银行或其他官方机构,应直接通过官方渠道联系确认。
3. 保持谨慎态度:对于过于紧急或威胁性的要求,要保持冷静,不要因恐慌而做出冲动决定。
强化技术防护措施
1. 安装优质安全软件:选择如火绒安全产品这样信誉良好的安全软件,并确保其始终保持最新状态。
2. 实时监控与扫描:开启安全软件的实时保护功能,定期对电脑进行全面扫描,及时发现并清除潜在威胁。
3. 更新病毒库:定期更新病毒库,以确保能够识别和防御最新的恶意软件和钓鱼攻击。
4. 启用防火墙:利用操作系统的防火墙功能,限制不必要的网络访问,增加攻击者的入侵难度。
组织层面的安全管理
对于企业和组织来说,除了上述个人防护措施外,还应:
1. 开展员工培训:定期对员工进行网络安全教育和应急演练,提高整体安全意识和应对能力。
2. 制定严格政策:建立和完善电子邮件使用规范及数据处理流程,减少因内部疏忽导致的安全事件。
3. 部署专业安全解决方案:采用多层次、全方位的安全防护体系,包括但不限于入侵检测系统(IDS)、入侵防御系统(IPS)等。
应对已知攻击案例的具体方法
针对火绒威胁情报中心提到的具体攻击手法,可以采取以下针对性措施:
• 禁止运行未知VBS脚本:在组策略编辑器中设置禁止执行未经签名的VBS脚本。
• 监控Python加载器的异常行为:利用安全软件监控系统中是否有不明来源的Python程序在运行。
• 检查并隔离Cobalt Strike相关进程:一旦发现此类后门程序的活动迹象,立即采取措施将其终止并隔离。
综上所述,要想有效抵御钓鱼攻击及其衍生的各类风险,既需要个人的警觉配合,也需要坚实的技术屏障和组织层面的有力管控。 学会了 这就去写 都写着.lnk快捷方式的后缀,和PDF有啥关系 真不错,厉害 感谢虽然我也看不懂但是感觉确实很强 我这就把火绒更新:victory: 精彩,仔细看看 学习了,厉害 太厉害,太赞! 这波解释的不错额 大佬就是牛 火绒应该可以组织这类捆绑的木马吧