请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题




  十一假期前夕,在某单位工作的小刘如同往常一样,在午休过后,有条不紊地打开邮箱开始准备下午的工作。
  邮箱里突如其来的一份“不忘初心、牢记使命”纪律知识竞赛活动通知,把小刘的思绪仿佛瞬间带回到那段激情燃烧的岁月。作为一个记忆力超强、小学背诵课文次次拿满分的三好学生五好青年,小刘自然不能放过这样大好的表现机会。

360社区

360社区


    “嚯!还是一个带密码的,看来这事儿比较机密,得赶紧抓住这个机会。“小刘心想。大概扫了一眼邮件内容之后,便信心十足地下载了里面的附件打算报名。

360社区

360社区


   小刘根据邮件提示解开了附件里的压缩包文件,只见里面有一个后缀为docx的活动方案“文档”,便毫不犹豫地点开了。

360社区

360社区


一场悄无声息且筹谋已久的网络攻击便在此刻正式启动——附件里所谓的“文档”实际上正是一个恶意快捷方式。


360社区

360社区



通常来说,快捷方式是对某软件程序或文件的链接,而这个“快捷方式”则被利用来启动恶意代码的运行,它所包含的命令是启动本地正常的系统组件ftp程序,以运行附件中的恶意文件“ccc.dat”。
果然,就打开文档的这一会儿功夫,单位里信息安全部的监测系统就亮起了红灯,小刘立刻就慌了神。


360社区

360社区



接到该单位的举报信息之后,360安全大脑立即启动360安全大数据平台对该攻击事件进行溯源分析,成功锁定了攻击者测试使用的5个IP地址和3台机器,并深度还原了本次入侵的攻击链。

360社区

360社区


事实上,小刘下载的邮件附件中的“ccc.dat”,是一个包含2部分攻击脚本和1个docx文档的复合文件,其文件结构如下所示。

360社区

360社区


其中第一部分是ftp程序的命令,功能是调用powershell来启动mshta程序执行第二部分的vbs脚本,该脚本首先提取第三部分的docx文档打开,用于迷惑用户,然后再偷偷启动powershell来运行下一阶段的攻击代码。

360社区

360社区


而下一阶段的powershell攻击代码主要任务是解密运行“白加黑”恶意模块。首先,解密另外一个负责实际加载工作的powershell脚本。在加载之前,该脚本会先patch保护模块“amsi.dll”,该模块是反恶意软件扫描接口,用于阻止恶意的powershell脚本运行,进行patch后可使其保护功能失效。

360社区

360社区


然后恶意脚本就开始联网从网络图库中下载一张事先上传的png图片,它实际上是使用图片隐写技术处理过的载体图片,其像素数据中隐藏着另外一段恶意脚本代码。

360社区

360社区


恶意脚本代码从图片中提取出来如下,其主要功能是联网下载另外两张使用相同技术的图片,提取其中的一组“白加黑”模块“WPSUpdate.exe”(白)和“krpt.dll”(黑)。从提取过程可见,这两张图片隐写的模块数据还使用了AES算法进行双重加密。

360社区

360社区

后面的工作就交给这组“白加黑”恶意模块来完成,白程序是WPS的升级程序“WPSUpdate.exe”,启动后会自动加载同目录下的黑模块“krpt.dll”,该模块运行后为了持久化首先进行的工作是创建一个伪装成WPS办公软件定时升级的任务计划,使其能够每隔30分钟自动运行一次。

360社区

360社区


接着,该恶意模块“krpt.dll”便会搜集用户电脑的信息加密回传自己的服务器,其中包含用户系统版本、计算机网络网卡信息、正在运行的进程列表以及用户安装的软件列表等。

360社区

360社区


搜集完用户信息,马上就进入该后门程序的执行流程,将用户id拼接到http的请求头部参数里开始连接远程的上线接口“hxxp://103.129.222.138/ksord/photo/bmp/”,当远程C&C服务器返回的http状态码为200时,才可以进入最后的分配内存执行shellcode流程。

360社区

360社区


通过以上分析,我们发现这是一起针对性极强的钓鱼攻击。攻击者通过制作诱惑性极强的攻击文档,利用预谋性十足的身份伪装和目标锁定,瞄准时间针对该单位投放钓鱼邮件,达到窃取机密信息的目的。

360社区

360社区


值得一提的是,根据360安全大数据平台追踪到的5个IP地址和3台机器的活跃情况,我们发现攻击者为防止追踪频繁使用网络代理来变换IP地址,且其测试工作也都在虚拟机里进行。这一整套配合“反追踪手段”的攻击流程可谓环环相扣,专业水平和成功率都较高,令人难以察觉、防不胜防。


360社区

360社区


   当下网络空间形势严峻,针对个人、企业乃至国家关键基础设施所发起的攻击数不胜数,而这其中绝不只是以上提到的钓鱼邮件攻击,数以百亿计的物联网设备、新技术、芯片、云端都会成为攻击的切入点,国家关键基础设施更是首当其冲会成为重要的攻击目标。在此,我们也提醒各企事业单位,做好以下防御措施,为避免此类攻击事件再次发生。
          1、尽快前往weishi.360.cn,下载安装360安全卫士,有效拦截各类病毒木马病毒攻击,保护电脑隐私及财产安全;

          2、加强网络监管,提升工作人员的安全意识,不要轻易打开来路不明的邮件附件和链接,打开文档前切记要仔细检查文档来源和文件格式;

          3、企业邮件服务器可尝试部署邮件安全网关、升级安全策略,将此类邮件拉入垃圾邮件黑名单等措施实施防御;

          4、做好硬件隔离防护,手机、U盘等不要轻易直接连接使用。

IOC:

360社区

360社区



来源 360安全卫士

共 2 个关于我工作积极努力上进,为啥却挨了领导一顿骂!的回复 最后回复于 2019-10-16 11:25

评论

直达楼层

望不到尽头 VIP认证 LV13.中将 发表于 2019-10-13 12:22 | 显示全部楼层 | 私信
{:14_363:}{:14_363:}{:14_363:}
来自ONEPLUS A5010(360社区3.5.4版)
冀楚 VIP认证 LV9.中校 发表于 2019-10-16 11:25 | 显示全部楼层 | 私信
提醒很及时 防范很重要
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:181 关注:13 积分:237226

精华:307 金币:228579 经验:198159

最后登录时间:2024-3-28

小水滴公测勋章 智能摄像机3C 摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

360云台摄像机9Pro写评论送大奖!

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表