吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 33649|回复: 75
收起左侧

[PC样本分析] DocuSign网站用户资料泄露 病毒团伙利用邮件疯狂作恶

  [复制链接]
火绒安全实验室 发表于 2017-5-21 13:01
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
一、综述

       近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。请DocuSign的用户提高警惕,在收到相关邮件时仔细查验真伪,不要轻易打开邮件正文中的word文档查看链接。


       火绒安全团队根据截获的病毒邮件分析和溯源,发现知名的数字文档签署平台DocuSign遭到黑客入侵,导致用户资料被泄露。病毒团伙得到用户信息后,伪造了一个假域名“DocuSgn”(比DocuSign少一个字母i),从这里向用户发出病毒邮件,病毒邮件伪装成会计发票,由于邮件标题及正文均使用 DocuSign 品牌标识,充满迷惑性,诱骗用户下载含有恶意代码的word文档,当用户打开文档时,系统会询问用户是否打开被禁用的恶意宏代码,如果用户启用被禁宏,便会开启病毒的多次接力下载,最终下载并运行Zbot。(如下图所示)


       本次病毒邮件攻击的受害人群仅限于DocuSign用户,火绒安全通过虚拟行为沙盒可以检测出恶意行为,所以无需升级即可彻底查杀病毒,并且通过“恶意网址拦截”功能,拦截假冒域名docusgn.com。 

二、事件分析

       近期,火绒工作人员收到了一封来自"docusign"的邮件,经火绒工程师确认,这是一封伪装DocuSign的钓鱼邮件。图中发件人的邮箱地址为dse@docusgn.com,和官方docusign.com有一字之差,如下图所示:


       火绒一共收到4封正文相同的邮件,只是下载文档的地址变换了4次。分别如下:

hxxp://hertretletan.ru/file.php?document=MjEzM3pob3VqdW5AaHVvcm9uZy5jbjYxODg=
hxxp://search4athletes.com/file.php?document=MDY2NHpob3VqdW5AaHVvcm9uZy5jbjI1MTg=
hxxp://tannareshedt.ru/file.php?document=NjQzNXpob3VqdW5AaHVvcm9uZy5jbjcwMzE=
hxxp://lasvegastradeshowmarketing.com/file.php?document=NjE3Nnpob3VqdW5AaHVvcm9uZy5jbjU2MTA=

      点击“REVIEW DOCUMENT”下载包含恶意代码的Word文档:


      下载的文档内容也是相似,只有一副图片。火绒初步怀疑该恶意文档是使用MetaSpolit工具生成。打开文档后,Word会询问用户是否打开被禁用的恶意宏代码,如下所图:


       如果按照钓鱼文档的说明,关闭安全警告启用宏,就会触发文档中的恶意脚本,脚本执行过程中会进行多次解密,解密数据来自于宏脚本窗口中的控件对象。控件对象数据如下:


       关键解密过程如下:


       控件对象数据最终会解密出包含恶意代码的PE文件,然后启动系统进程svchost.exe,将解密后的病毒注入到svchost.exe中执行:


       被注入的svchost.exe还是一个下载器,联网后下载另一个病毒程序"BN2589.tmp.exe"到TEMP目录并执行。
       通过分析, “BN2589.tmp.exe”是一个被混淆器多重加密的Zbot。病毒会启动explorer.exe作为傀儡进程运行恶意代码:



       上图中Explorer被病毒Patch了入口点代码,确保在Explorer恢复线程后,可以从入口点跳转到注入的恶意代码,随后跳转到恶意代码入口点继续解密:



       注入到explorer的恶意代码是一个混淆后的动态库,其导入表是经过加密进行存放的,在动态库被注入后会先对其导入表进行修复,修复后进会保留函数地址,并对函数名部分进行擦除:



       其父进程注入explorer时会在其内存块其实地方记录下一段加密的用户配置信息和启动程序路径:




       病毒主逻辑中,首先会检测虚拟机进行反调试:




       该样本中所使用的所有资源都被加密:



      通过解密可以得到C&C服务器域名如下:




       其程序运行中会不断的尝试联网,获取C&C传回的数据信息。在样本中我们还发现大量DNS服务器,如下:

185.121.177.53

185.121.177.177

45.63.25.55

111.67.16.202

142.4.204.111

142.4.205.47

31.3.135.232

62.113.203.55

37.228.151.133

144.76.133.38



       这些DNS服务器具有DNSCrypt功能,推测其目的是加密访问病毒C&C服务器,如下:




       完整的解密后数据:



       根据病毒的行为和复杂程度,结合上图中红色框中的解密出来的字符片段,但是通过此前泄露的ZBot源码,可以断定这就是Zbot无疑:



       Zbot是一个历史悠久且功能复杂的木马程序,因为源码的泄露。使得任何人都可对其修改,我们可以从之前泄露的Zbot源码看到病毒有以下主要行为:

1.获取浏览器cookies,flash player cookies, FTP密码和email密码。




       Zbot会针对不同的FTP和email客户端,读取其保存账户信息的注册表或文件,之后将收集到的信息打包发送到病毒作者的C&C服务器。从下面两张图中,我们可以看到Zbot能够盗取市面上主流FTP和email软件的账户信息。




2.HOOK InternetReadFile 和 InternetReadFileExA函数,在获取网页时向网页中注入代码获取用户的账户信息:



3.HOOK GetClipboardData 函数获取剪切板信息:




4.HOOK TranslateMessage函数,拦截程序消息,当为按钮按下消息时,截屏保存图片。当为键盘按键消息时,则记录按键信息。如下图所示:



       除了上述介绍的几个函数外Zbot还HOOK了一些系统API,和上述方法类似,主要用于获取用户信息,这里就不再详细列举。

       Docusign是数字文档签署平台,其客户多是企业用户。此次Zbot攻击,非常有针对性,结合Zbot的行为, 不排除病毒会窃取商业资料,网银密码、等企业关键信息。

       火绒在拦截到病毒样本之前就已经可以对相关病毒样本进行查杀,并且在拦截到病毒当天就升级了恶意网址拦截,阻拦了虚假域名docusgn.com。



三、附录


样本SHA1:

Eml
652eb7097d327cae8bd8a1d0d8e606f6a77603c8
99d84db0b071f0db97dc9d024349c3f4edb66911
a5f30b73103754923c568d7548af56fceed148b5
eda9ac8e9b21c969c11d05337892e44fa9c1c045
DOC
cb6797ff6eb43748c07faaa7bf949a42929a5220
d6eefe9314ff0c581acf26d5a647e40c9d12fcd8
PE
a809de46a2e21ac6aab7b66dbaa2206332935af3
ae76db7f24a111ca022b00d29fb08cc76cbab41b

分析报告下载链接:http://down4.huorong.cn/doc/docusign.pdf

免费评分

参与人数 39吾爱币 +38 热心值 +38 收起 理由
小六升臣 + 1 + 1 看了你帖子我已经卸载360 安装火绒
wentwent + 1 + 1 谢谢@Thanks!
cy_落 + 1 + 1 谢谢@Thanks!
hlink1021 + 1 + 1 热心回复!
smais + 1 + 1 厉害厉害,学习,额,算是了解吧,对于学习来说太难。支持楼主。
MaxMadcc + 1 + 1 我很赞同!
Smi + 1 用心讨论,共获提升!
晨叶欣音 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
呱呱生 + 2 + 1 谢谢@Thanks!
loooooooong + 1 + 1 用心讨论,共获提升!
文可う润心 + 1 + 1 谢谢@Thanks!
温柔的一哥 + 1 + 1 我很赞同!
Macc + 1 + 1 谢谢@Thanks!
onexiao + 1 + 1 我很赞同!
helloword121 + 1 + 1 谢谢@Thanks!
Ravey + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
zamliage + 1 + 1 为人民服务啊!
soyiC + 2 + 1 用心讨论,共获提升!
siuhoapdou + 1 + 1 谢谢@Thanks!
z250967086 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
海底总动员 + 1 我很赞同!
xnzhan + 1 + 1 谢谢@Thanks!
小北风 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
jszy588288088 + 1 + 1 我很赞同!
痴心绝对唯爱 + 1 + 1 用心讨论,共获提升!
一生挚爱 + 1 + 1 大咖
淡じ☆vé嗼 + 1 + 1 用心讨论,共获提升!
Chlrun + 1 + 1 不错不错 学习了
守护神艾丽莎 + 1 + 1 我很赞同!
红阳 + 1 + 1 谢谢@Thanks!
ychenyang + 1 + 1 热心回复!
qmopl + 1 + 1 已答复!
白吱声 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Faithful丶o + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Summer大大 + 1 + 1 谢谢@Thanks!
夏末moent + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
5乐知 + 1 + 1 谢谢@Thanks!
Gleam + 1 + 1 谢谢@Thanks!
彬彬酱 + 1 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

18922242229 发表于 2017-5-21 15:45
每一步的注释我都打上了,就不作太多解释了,如果有不明白的可以回复问我,如果有大佬能优化一下这个,那就再好不过了
                                                     小生在这先谢谢大家观看我的帖子
不在不 发表于 2017-5-24 18:42
厉害厉害                                                   
彬彬酱 发表于 2017-5-21 13:16
Gleam 发表于 2017-5-21 13:17
虽然已经不用火绒,但是还是点赞
战歌酒吧 发表于 2017-5-21 13:26
楼主大神啊,杀毒软件的高级工程师啊。
fisher 发表于 2017-5-21 14:09
给火绒的大光头工程师点个赞
猫儿扛着枪 发表于 2017-5-21 14:15
虽然已经不用火绒,但是还是点赞
palard 发表于 2017-5-21 14:25
感谢大佬。
白吱声 发表于 2017-5-21 15:20
厉害了,  我是看不懂的
ychenyang 发表于 2017-5-21 16:46
支持支持。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 13:32

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表