借助冠状病毒疫情发起的钓鱼攻击事件监测
一、概述
2020年1月底,监测到互联网上的部分邮件、社交网络内在传播一些命名为“冠状”、“冠状病毒预防”、“肺炎病例”的文件,此类文件通过和疫情相关的介绍文字诱导用户点击打开。 经研判发现部分文件为电脑远控程序。 通过调查确认为部分黑客组织制造并根据近期疫情情况利用大众心理学传播带有“冠状”、“病毒预防”、“肺炎病例”等热门字样的病毒文件。 受害者通过邮件、社交网络接收文件并运行后,可导致电脑被控、个人文件被窃取等危害。
经过分析,此次攻击传播通过邮件、社交网络传播。 社交网络成为该病毒传播的主要渠道,攻击团伙使用的病毒伪装成“冠状病毒”、“逃离武汉”、“新型冠状肺炎”等诱饵词汇,利用人们对疫情的关注心理,构造相关传播文字在 qq 群、论坛等传播诱导用户下载并打开文件。
此次攻击样本具有如下特征:
1、该系列中有些样本具有典型的远程控制、信息窃取的特征,具有键盘记录、电脑截屏、信息窃取等功能,在跟踪过程中会发现会频繁更新 C2 地址;
2、部分典型样本会释放正规远程控制软件 TeamViewer,TeamViewer 软件因自身的白名单签名机制成功躲避了绝大多数杀毒软件的查杀。 利用 TV 的远程功能获取关键信息,并发送到黑客预设的 C2 服务器,从而达成远程控制的目的;
截止2020年2月5日,虽然部分样本文件已被主流杀软识别告警,但是通过近一周的监控,此类攻击文件仍在互联网内在进行传播。 仍需持续跟踪。
二、基于规则事件监测
2.1 新冠状病毒恶意软件域名检测-202.58.105.80监测
截止2020年2月5日13时,监测发现来自上海市IP(61.151.xx.xx)多次访问新冠状病毒恶意软件控制端IP地址202.58.105.80,应该已经遭受借 助冠状病毒疫情的钓鱼攻击,被攻击者远程控制。
2.1.1 攻击时间
从2020年2月4日15时至2月5日13时
2.1.2 攻击方式
攻击者通过将远控木马伪装成例如新型冠状病毒肺炎病例全国已5名患者死亡; 新型肺炎病毒等敏感字信息文件,诱导用户下载并打开文件,然后对目标机器进行远程控制。 回联境外服务器IP地址202.58.105.80,TCP端口号: 5073。
2.1.3 攻击目标(61.151.x.x)
对受害IP进行定位如下:
2.1.4 攻击者画像
对攻击者IP(202.58.105.80)进行分析发现该IP一直处于活跃状态且被多次标记为恶意、远控、后门等,同时存在多个恶意样本。
三、样本分析
3.1 相关信息
通过自有监测手段及友商披露信息,收集到此次攻击中黑客团伙使用的相关文件描述信息如下:
样本 MD5:
e0a06ffa6802422a33208abd6c06a892
a30391c51e0f2e57aa38bbe079c64e26
674805b536e872a7b6412711699ee44f
C2域名
9.wqkwc.cn
202.58.105.80:5073
诱饵文件名:
新型冠状病毒肺炎病例全国已 5 名患者死亡; 警惕! ! .exe
今晚菲出现购口罩狂潮,商店门口围满了人.exe
新型冠状肺炎袭击菲律宾,已确诊病例七人.com
新型冠状病毒防护通知手册.exe
冠状病毒.exe
新型冠状病毒预防通知.exe
双重预防机制.scr
新型冠状病毒肺炎.exe
疫情防控投入.exe
3.2 典型样本分析
通过对互联网监测平台捕获的文件分析,大部分传播的文件具有标准的远控功能,某个典型样本文件具体逆向分析如下:
0x00 基本信息
家族 |
Backdoor.Win32.Farfli.bpkh |
MD5 |
a30391c51e0f2e57aa38bbe079c64e26 |
SHA1 |
6d3eb564ce84894446da0f8d86cf9b4237ca374d |
SHA256 |
22be9e61719c32f1f3b1903f5f6232a81f0a4fd44a895710d5d13c5e26e41cae |
大小 |
1712252 字节 |
样本类型 |
PE32 executable (GUI) Intel 80386, for MS Windows |
0x01行为分析
执行监控: 创建C:\Program Files\Hhtzrvi.exe进程
文件监控: 由样本文件创建出C:\Program Files\Hhtzrvi.exe
注册表监控: 创建服务实现开机自启动
网络监控: 连接202.58.105.80:5073并发送上线包
0x02 详细分析
创建互斥体: bidj
将样本拷贝到C:\Program Files\Hhtzrvi.exe
写入PE文件
运行创建出的文件C:\Program Files\Hhtzrvi.exe,并激活窗体激活窗体,并将其显示在当前的大小和位置上。
接着分析C:\Program Files\Hhtzrvi.exe
创建服务注册表
创建注册表实现开机自启动
创建线程,回调函数为0x10007180
拼接字符串为url如下图所示:
通过循环拼接注册表并打开,从而获得处理器的数量。
获得系统的时间
将时间拼接为
获得模块路径
gethostbyname函数获取ip地址
端口号: 5073
连接202.58.105.80:5073
获取系统信息
发送上线包
上线包内容如下(经过加密处理)
打开由完整的FTP或HTTP URL指定的资源(由于链接已经失效无法打开),之后进行数据的读取后续可能会进行保存此数据并进行运行。
提升权限
利用_beginthreadex函数创建线程,回调函数为0x1001E860
获取桌面句柄
通过调用GetThreadDesktop得到桌面窗口所在线程,然后调用GetUserObjectInformation获取特殊的窗口站和桌面对象信息。
随后访问
url: http://r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=12345678
获取指令接 收地址。
获取到新地址后会连接并创新线程等待接收数据。
接收到数据后判断数据包是否是DHLAR开头
然后获取解密后的数据大小等信息,进行数据包解密
在此处进入指令处理过程
接收指令操作
其中功能包含
功能号 |
说明 |
0x1 |
k |
0x2 |
开启新线程进行连接 |
0x3 |
开启新线程进行连接 |
0x4 |
开启新线程进行连接 |
0x5 |
攻击 |
0x6 |
停止攻击 |
0x7 |
开启新线程进行连接 |
0x8 |
开启新线程进行连接 |
0x9 |
关机或重启等 |
0xA |
卸载 |
0xB |
文件下载运行 |
0xC |
文件下载运行并退出 |
0xD |
清理日志 |
0xE |
显示启动IE,并添加启动参数 |
0xF |
隐藏启动IE,并添加启动参数 |
0x10 |
设置服务jgsec.f3322.org 931490066的Host键值 |
四、安全建议
1、在疫情期间,收到和疫情相关的邮件,特别是邮件内带有附件或带链接的需要特别注意,若遇到exe文件、包含未知文件的压缩包文件禁止擅自打开,重要邮件需要和朋友或同事确认;
2、疫情面前,尤需秉持科学精神、理性态度,多关注权威媒体消息,不轻信其他途径的文章。 社交网络账号内,若收到关于疫情相关的文章、文件,需确认是否为国内权威媒体及正规网站,不轻易打开非官方权威媒体发布的文件、文档,不盲目转发非权威媒体公布的链接及文件;
3、电脑设备须安装正规杀毒软件,做好系统补丁升级;
4、不要启用Office宏,除非文档来自可信来源;