首页 > 其他分享 >一封伪造电子发票的邮件攻击事件分析

一封伪造电子发票的邮件攻击事件分析

时间:2024-06-21 09:28:56浏览次数:26  
标签:网络安全 文件 专业 域名 邮件 2023 发票 伪造 下载

一、事件简述

4月6日,收到一份邮件,来自名为:云发票 <[email protected]>的邮件,主题为:***账户支取发票,邮件内容称寄来开具的充值电子发票,具体内容如下:

尊敬的用户*** 你好

您于2023年4月6日开具的充值电子发票,票据信息如下:

開票日期: 2023年4月6日 發票金额:150.00 ¥

发票代碼:1440110

發票号碼: 020942845994

********************************************************************

发票明细

 

看文件内容很奇怪,繁体和简体字混淆应用。

查看“发票明细”的链接,地址为:http://swqe.sbs/home.html,访问后显示内容为一张电子发票图片,并且提示要windows下载查看:

1680785702_642ec1268c00e24de2d1e.png!small?1680785641685

点击下载后再次弹出是否确认要下载该文件,如下图:

1680785784_642ec17896198b2825616.png!small?1680785723927

下载后,打开该ZIP文件,发现是一个名为1.EXE的可执行文件,文件大小为20K。

1680785941_642ec2154a0531f58fcff.png!small?1680785880402

1.exe的文件属性基本都是空的,可以看到修改日期为:2023年4月5日 13:51,感觉像是刚编译生成并发动攻击的。

1680786057_642ec28989b76d6c4dcf8.png!small?1680785996616

二、EXE可执行文件分析

该EXE很简单的功能,就是直接去下载dll文件并加载运行。

首先可以看到,进行字符串分割,将URLDownladToFileA字符串分割成“UR"+”LDownloadToFileA“。

1680786783_642ec55fb5fe9a74da1a7.png!small?1680786723209

访问的域名是:http://img.cloudservicesdevc.tk/picturess/2023/

域名所在的IP地址指向美国:

1680787032_642ec65879849617e70bf.png!small?1680786971708

直接访问域名,返回界面如下:

1680787223_642ec71742854c4b102eb.png!small?1680787162440

随便测试URL下面的文件,比如aa.txt,发现会提示:”未找到,法海不懂爱,页面出不来“,哈哈哈。

1680787418_642ec7da0dc689f865781.png!small?1680787357269

首先下载31.28.txt,发现返回的内容是一个外网IP地址:8.217.31.28,位于中国香港的阿里云服务器。

1680787886_642ec9aee11fac8736db8.png!small

接着,1.exe下载访问该域名下的LiveUpdate.exe,发现可以下载,下载471K的PE文件

1680787591_642ec8874943ca1769499.png!small?1680787530349

实际运行中,会下载保存至: c:/%programdata%/Thunder/LiveUpdate.exe。

跟着,访问该域名下的media.xml,发现返回的界面如下:

1680787308_642ec76c1c8b9dc734d89.png!small

但是,实际1.exe运行,会成功下载一个文件,保存至: c:/%programdata%/Thunder/Media.xml,打开该文件查看,可以看到该文件应该是一个PE文件,不过PE头经过了处理。

1680791338_642ed72abbf806c079b0a.png!small?1680791277877

接着,访问该域名下的LiveUpdate360.dat文件,下载成功:

1680788689_642eccd17dc2a876cafe5.png!small?1680788628815

接着,访问该域名下的SqlVersion9.dll, 下载并保存为本地的Setup.dll成功,大小1.6M的PE文件。

1680788760_642ecd1804025f3b27e07.png!small?1680788699077

继续测试下载setting.ini,可以下载

1680787655_642ec8c7a3342a3c45ace.png!small?1680787594756

setting.ini里面的内容就是一个本机IP地址:127.0.0.1。

其中: 下载保存的目录为:c:/%programdata%下,setting.ini和Setup.dll。Thunder目录下则保存的是LiveUpdate.exe和LiveUpdate.dat文件,具体如下图所示:

1680789931_642ed1abddc00d47a4c48.png!small?1680789871416

下载完成后,1.exe调用执行SETUP.DLL,如下图所示

1680792180_642eda740b61cfe4ac28e.png!small

1680792033_642ed9e1c35cd57a7aedd.png!small?1680791972923

三、恶意文件列表

相关的恶意文件和IP地址、域名如下:

文件名MD5 HASH
LiveUpdate.exe96e4b47a136910d6f588b40d872e7f9d
LiveUpdate.datf149d3f3ef0361ebe4d346811f29b527
Media.xml3f4ab3b172bd350f5de23e3cc9cda13a
Setup.dll9d861d5a82245aa4177fe952c5679d7a
1.EXE9e70dcca9d09ba47f36018e002927a04

域名IP地址
http://swqe.sbs/home.html43.154.192.213
http://img.cloudservicesdevc.tk/picturess/2023/104.21.24.228

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

  • 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
  • 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

 “没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

 2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

 行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

 

 (都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

标签:网络安全,文件,专业,域名,邮件,2023,发票,伪造,下载
From: https://blog.csdn.net/2401_84466325/article/details/139819498

相关文章

  • 如何实现FDA 邮件通信安全加密?
    最近,有不少药企,食品行业客户询问如何与FDA保持邮件通信安全、畅通,要解决此问题首先得了解FDA对邮件通信的规定,然后做好邮件安全合规工作,保证企业与FDA通信安全!自2018年10日起,外部实体与FDA进行CBER监管通信必须经过邮件安全加密处理。那么如何实现与FDA保持邮件通信安全加密......
  • 遭到勒索攻击,只因打开了陌生邮件
    有网络安全意识的大都知道,陌生的邮件最好不要打开,更不要去打开附件,这很有可能是黑客传播的邮件。而近日,就有随手点开了这样一封电子邮件,而让办公室内的三台服务器都相继感染了360勒索,幸运的是这三台服务器中都没有保存什么太过重要的数据,不需要花费大量的时间重建,但是也让负责人......
  • Automa实现的Gmail个人邮箱批量发邮件-带定时功能-实战原创
    文章目录前言一、Gmail个人邮箱批量发邮件是什么?二、操作演示1.工作流全貌2.数据读取3.创建空文件4.写入数据5.切换标签页6.定时功能总结高效办公新技能:使用Automa和Gmail实现定时邮件发送,提升效率!前言Gmail个人邮箱批量发邮件-自定义内容,这个插件之前做的是安......
  • 117.网络游戏逆向分析与漏洞攻防-邮件系统数据分析-结构数据的删除更新与重置
    免责声明:内容仅供学习参考,请合法利用知识,禁止进行违法犯罪活动!如果看不懂、不知道现在做的什么,那就跟着做完看效果,代码看不懂是正常的,只要会抄就行,抄着抄着就能懂了内容参考于:易道云信息技术研究院上一个内容:116.解析结构数据的创建信息码云版本号:fbbc39edab40a684ca28c1e1......
  • gitlab自动定时备份文件,备份失败发送邮件
    一、需求为预防gitlab出现故障,每天定时备份,备份完成后把之前的备份文件删除,备份成功或失败的时候自动发送邮件提醒,这里的gitlab为docker部署。二、备份命令准备1)备份命令 创建一个gitlab_auto_backup.sh文件,文件内容#!/bin/bash#进入GitLab容器并执行备份--gitlab为do......
  • 邮件钓鱼--有无SPF演示--Swaks
    目录临时邮箱网址:Swaks简单使用说明:(kali自带)操作流程:无SPF:(直接伪造发信人)演示1 演示2演示3​编辑有SPF:--演示临时邮箱网址:http://24mail.chacuo.net/ https://www.linshi-email.com/ Swaks简单使用说明:(kali自带)-t–to目标地址-tte......
  • 阿里云 Ubuntu 22.04.4 LTS 安装postfix+dovecot 搭建邮件服务器
    一安装1安装postfixsudoapt-getinstallpostfix#如果没有弹出配置界面,运行dpkg-reconfigurepostfix     #sudovim/etc/postfix/main.cfsmtpd_banner=$myhostnameESMTP$mail_name(Ubuntu)biff=noappend_dot_mydomain=noreadme_directory=......
  • LVS_Director + KeepAlived + 邮件报警
    目录一.环境准备二. 对master和backup操作三.配置master主机四.配置backup主机六.验证虚拟IP七.配置后端两个web服务器对web1和web2主机都进行如下操作: 单独修改web1主机单独修改web2主机验证八.设置邮件报警 一.环境准备KeepAlived在该项目中的功能......
  • JavaScript发送电子邮件
    JavaScript发送电子邮件constnodemailer=require("nodemailer");consttransporter=nodemailer.createTransport({host:"smtp.qq.com",//SMTP服务器地址port:465,//SMTP端口,对于SSL使用465secure:true,//对端口465使用“true”,对所有其他端口使用“f......
  • spring boot 整合邮件功能
    检查邮箱的SMTP/POP3服务是否开通,如果没有开通,先开通 SMTP/POP3服务spring: #邮件配置mail:#smtp服务主机host:smtp.163.com/smtp.qq.com#服务协议protocol:smtp#编码集default-encoding:UTF-8#允许测试连接test-connection:t......