【恶意文件】钓鱼邮件通过恶意压缩文件传播远控木马
2023-12-13 17:30:25 Author: mp.weixin.qq.com(查看原文) 阅读量:18 收藏

恶意文件家族:

SawRAT

威胁类型:

远控木马

简单描述:

远控木马SawRAT由Java编写,拥有屏幕截图、文件上传、任意命令执行等功能,攻击者可对受控目标主机执行任意远控操作,可轻松获取目标敏感信息。

恶意文件描述

近期,深盾实验室在运营工作中发现一起通过电子邮件传播的远控木马威胁事件。在该起事件中,攻击者通过钓鱼邮件释放一个恶意的压缩文件,并在该压缩文件中精心设计了一款将图标伪装成“Adobe”的恶意.lnk文件,以诱导用户点击,完成后续的连锁攻击。经分析,攻击链的最终阶段将放释一款全新的远控木马程序,因其使用名称“Saw”,故将其命名为SawRAT。

恶意文件分析

攻击者采用对.lnk文件赋值特殊目标路径的方式,将包含“cmd”的命令写入,以自动执行预制恶意命令。当受害者点击恶意lnk文件后,将自动复制当前目录下的恶意zip文件到敏感目录,解压后并执行恶意脚本文件,随后启动远控木马SawRAT。

恶意lnk文件

受害者将zip附件从电子邮件下载并解压后,将释放一个隐藏的文件夹“a”和一个带有恶意指令的lnk文件。

攻击者将恶意命令存放至lnk文件的目标路径中:

该段命令旨在将目录下的“files.zip”文件分别复制到%TEMP%目录以及默认下载目录,随后进入%TEMP%目录并解压“files.zip”,并执行隐藏文件夹“a”下的“jp.js”文件。

恶意JS文件

恶意JS文件“jp.js”文件被执行后,旨在执行更深层目录下的“jpackage.pdf”,并调用java执行“jpackage.jar”文件,该jar文件即为远控木马SawRAT。其中PDF文件受到密码保护,用以迷惑受害者,猜测密码应在钓鱼邮件中体现。

远控木马SawRAT

远控木马SawRAT由Java编写,拥有屏幕截图、文件上传、任意命令执行等功能,方便攻击者对受控目标主机执行任意操作,对受害者隐私产生较大威胁。

在主函数Main中,调用内部的FrameMain中的show函数,该函数创建一个指定大小并进行隐藏的JFrame,随后启动一个新的进程运行MSocket类的实例。

在该实例中,远控木马将创建一个Socket并连接C2地址,并进入一个大循环,接收指定命令并执行相应的操作。

下表展示每一个命令所对应的执行操作:

命令

操作描述

HB

5秒发送一次心跳信号

kfsSendSysInfo

收集操作系统名称、用户名、主机名并发送

kfsSendDrives

收集系统盘符名称并发送

kfsListDir

收集指定目录下的文件及文件夹的信息并发送

kfsSendFile

将指定文件发送至受害者端

kfs1Sfd

收集指定文件的路径、属性、大小等信息并发送

kfs1une

将指定文件上传至攻击者端

kfs1tss

捕获当前受害者主机屏幕截图,并发送

ffs1cce

发送base64编码的指令,解码后通过cmd.exe执行

ATTCK

TA阶段

T技术

S技术

描述

TA0001

初始访问

T1566

网络钓鱼

T1556.001

钓鱼附件

通过网络钓鱼电子邮件附件获得初始访问权限

TA0002

执行

T1204

用户执行

T1204.001

恶意lnk文件

设计lnk文件以诱导用户点击

TA0007

发现

T1082

系统信息发现

N/A

获取受害者主机系统

T1083

文件系统信息发现

N/A

获取受害者文件系统信息

TA0011

命令与控制

T1132

数据混淆

T1132.001

数据编码

攻击者利用base64编码传输命令

TA0009

信息收集

T1113

屏幕获取

N/A

获取受害者主机当前屏幕截图

IOC

13C01534896246365DBBB625D8DBCBF4

9ACD010A980719F738CE561CCB127384

15957E06AEAD7D907972842D803F6471

144.91.112.130:6023

解决方案

处置建议

1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。

2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。

深信服解决方案

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247521664&idx=1&sn=9c4882b29ff414f6135e35f15c36d9b2&chksm=ce461e90f9319786e15cc8f656aa434076fe9965f16c3347de03c08a8a380f964c07236c08fa&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh