近期，深盾实验室在运营工作中发现一起通过电子邮件传播的远控木马威胁事件。在该起事件中，攻击者通过钓鱼邮件释放一个恶意的压缩文件，并在该压缩文件中精心设计了一款将图标伪装成“Adobe”的恶意.lnk文件，以诱导用户点击，完成后续的连锁攻击。经分析，攻击链的最终阶段将放释一款全新的远控木马程序，因其使用名称“Saw”，故将其命名为SawRAT。

攻击者采用对.lnk文件赋值特殊目标路径的方式，将包含“cmd”的命令写入，以自动执行预制恶意命令。当受害者点击恶意lnk文件后，将自动复制当前目录下的恶意zip文件到敏感目录，解压后并执行恶意脚本文件，随后启动远控木马SawRAT。

恶意lnk文件

受害者将zip附件从电子邮件下载并解压后，将释放一个隐藏的文件夹“a”和一个带有恶意指令的lnk文件。

攻击者将恶意命令存放至lnk文件的目标路径中：

该段命令旨在将目录下的“files.zip”文件分别复制到%TEMP%目录以及默认下载目录，随后进入%TEMP%目录并解压“files.zip”，并执行隐藏文件夹“a”下的“jp.js”文件。

恶意JS文件

恶意JS文件“jp.js”文件被执行后，旨在执行更深层目录下的“jpackage.pdf”，并调用java执行“jpackage.jar”文件，该jar文件即为远控木马SawRAT。其中PDF文件受到密码保护，用以迷惑受害者，猜测密码应在钓鱼邮件中体现。

远控木马SawRAT

远控木马SawRAT由Java编写，拥有屏幕截图、文件上传、任意命令执行等功能，方便攻击者对受控目标主机执行任意操作，对受害者隐私产生较大威胁。

在主函数Main中，调用内部的FrameMain中的show函数，该函数创建一个指定大小并进行隐藏的JFrame，随后启动一个新的进程运行MSocket类的实例。

在该实例中，远控木马将创建一个Socket并连接C2地址，并进入一个大循环，接收指定命令并执行相应的操作。

下表展示每一个命令所对应的执行操作：

13C01534896246365DBBB625D8DBCBF4

9ACD010A980719F738CE561CCB127384

15957E06AEAD7D907972842D803F6471

144.91.112.130:6023

1. 避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。

2. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，并接入深信服安全云脑，及时查杀新威胁；

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。