360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器我工作积极努力上进,为啥却挨了领导一顿骂!
- 2019-10-12 09:57:22
邮箱里突如其来的一份“不忘初心、牢记使命”纪律知识竞赛活动通知,把小刘的思绪仿佛瞬间带回到那段激情燃烧的岁月。作为一个记忆力超强、小学背诵课文次次拿满分的三好学生五好青年,小刘自然不能放过这样大好的表现机会。
“嚯!还是一个带密码的,看来这事儿比较机密,得赶紧抓住这个机会。“小刘心想。大概扫了一眼邮件内容之后,便信心十足地下载了里面的附件打算报名。
小刘根据邮件提示解开了附件里的压缩包文件,只见里面有一个后缀为docx的活动方案“文档”,便毫不犹豫地点开了。
一场悄无声息且筹谋已久的网络攻击便在此刻正式启动——附件里所谓的“文档”实际上正是一个恶意快捷方式。
果然,就打开文档的这一会儿功夫,单位里信息安全部的监测系统就亮起了红灯,小刘立刻就慌了神。
接到该单位的举报信息之后,360安全大脑立即启动360安全大数据平台对该攻击事件进行溯源分析,成功锁定了攻击者测试使用的5个IP地址和3台机器,并深度还原了本次入侵的攻击链。
事实上,小刘下载的邮件附件中的“ccc.dat”,是一个包含2部分攻击脚本和1个docx文档的复合文件,其文件结构如下所示。
其中第一部分是ftp程序的命令,功能是调用powershell来启动mshta程序执行第二部分的vbs脚本,该脚本首先提取第三部分的docx文档打开,用于迷惑用户,然后再偷偷启动powershell来运行下一阶段的攻击代码。
而下一阶段的powershell攻击代码主要任务是解密运行“白加黑”恶意模块。首先,解密另外一个负责实际加载工作的powershell脚本。在加载之前,该脚本会先patch保护模块“amsi.dll”,该模块是反恶意软件扫描接口,用于阻止恶意的powershell脚本运行,进行patch后可使其保护功能失效。
然后恶意脚本就开始联网从网络图库中下载一张事先上传的png图片,它实际上是使用图片隐写技术处理过的载体图片,其像素数据中隐藏着另外一段恶意脚本代码。
后面的工作就交给这组“白加黑”恶意模块来完成,白程序是WPS的升级程序“WPSUpdate.exe”,启动后会自动加载同目录下的黑模块“krpt.dll”,该模块运行后为了持久化首先进行的工作是创建一个伪装成WPS办公软件定时升级的任务计划,使其能够每隔30分钟自动运行一次。
接着,该恶意模块“krpt.dll”便会搜集用户电脑的信息加密回传自己的服务器,其中包含用户系统版本、计算机网络网卡信息、正在运行的进程列表以及用户安装的软件列表等。
搜集完用户信息,马上就进入该后门程序的执行流程,将用户id拼接到http的请求头部参数里开始连接远程的上线接口“hxxp://103.129.222.138/ksord/photo/bmp/”,当远程C&C服务器返回的http状态码为200时,才可以进入最后的分配内存执行shellcode流程。
通过以上分析,我们发现这是一起针对性极强的钓鱼攻击。攻击者通过制作诱惑性极强的攻击文档,利用预谋性十足的身份伪装和目标锁定,瞄准时间针对该单位投放钓鱼邮件,达到窃取机密信息的目的。
值得一提的是,根据360安全大数据平台追踪到的5个IP地址和3台机器的活跃情况,我们发现攻击者为防止追踪频繁使用网络代理来变换IP地址,且其测试工作也都在虚拟机里进行。这一整套配合“反追踪手段”的攻击流程可谓环环相扣,专业水平和成功率都较高,令人难以察觉、防不胜防。
1、尽快前往weishi.360.cn,下载安装360安全卫士,有效拦截各类病毒木马病毒攻击,保护电脑隐私及财产安全;
2、加强网络监管,提升工作人员的安全意识,不要轻易打开来路不明的邮件附件和链接,打开文档前切记要仔细检查文档来源和文件格式;
3、企业邮件服务器可尝试部署邮件安全网关、升级安全策略,将此类邮件拉入垃圾邮件黑名单等措施实施防御;
4、做好硬件隔离防护,手机、U盘等不要轻易直接连接使用。
京公网安备 11000002000006号