伪装成简历的攻击样本,HR小伙伴注意啦

安全分析与研究

专注于全球恶意软件的分析与研究

样本简介

样本伪装成个人求职简历进行钓鱼攻击,名称为简历.docm,如下所示:

打开简历样本之后,提示包含宏代码,如下所示:

查看简历内容,发现竟然还是伪造的一份安全研究人员的简历,而且笔者感觉这个简历的内容应该是从哪里抄来的,哈哈哈哈,如下所示:

样本分析

1.提取出样本里面的宏代码,如下所示:

2.分析宏代码,里面包含几个自启动项,如下所示:

3.宏代码的核心函数代码 ,如下所示:

4.启动rundll32.exe进程,然后注入第一段ShellCode代码,注入的ShellCode代码,如下所示:

5.动态调试shellcode代码,从远程服务器上获取第二段ShellCode代码,如下所示:

通过VirtualAlloc分配相应的内存空间,如下所示:

然后远程服务器URL地址:hxxp://149.129.72.37:23456/SNpK,获取第二段ShellCode代码,如下所示:

6.跳转执行到第二段ShellCode代码,如下所示:

7.第二段ShellCode会解密自身的数据,解密之后的数据,如下所示:

8.然后跳转到解密之后的数据,如下所示:

这段汇编代码大家是不是很熟悉了,看过公众号之前文章的读者,应该会一眼看出这是通用反射型注入加载模块的汇编代码,模块导出函数,如下所示:

如果还有不懂的读者,可以去参考微信公众号下MR安全团队成员分享的两篇文章

(1) 恶意代码分析之反射型DLL注入

(2) 基于反射型注入技术的红蓝对抗案例

9.通过分析这个反射型注入的模块代码,发现是Cobalt Strike后门,相关的特征代码,如下所示:

10.远程服务器IP地址: 149.129.72.37,地位于香港,可以看到微步在线已经更新了这个IP地址信息,如下所示:

这个样本可能是一个"HW"测试攻击样本,其实在一些真实的APT攻击案例当中,黑客组织往往都会选择攻击目标最薄弱的地方,通过简历对目标进行钓鱼攻击也是一些APT黑客组织常用的攻击手法之一,大部分公司的HR或非安全从业人员的安全意识可能并不高,或者并不是每次都会保持很高的警惕性,给HR发送一些带有恶意代码或恶意链接的WORD或者是PDF简历,然后诱骗HR进行点击,从而达到攻击的目标,所以各位HR小伙伴们,以后收到安全研究人员的简历,再打开简历的时候要小心一点,不要乱点,哈哈

威胁情报

HASH

96FF9D4CAC8D3A8E73C33FC6BF72F198

C&C

149.129.72[.]37

URL

hxxp://149.129.72.37:23456/SNpK

hxxp://149.129.72.37:23456/ca

情报收集

常常有读者朋友通过微信或其他方式给我发送一些新的恶意软件或者自己遇到的一些网络攻击威胁情报信息,非常感谢这些朋友给我提供最新的攻击样本和相关的威胁情报,最新的威胁情报将是未来网络安全的重点,欢迎各位关注安全分析与研究的读者朋友们,不管是你的企业,还是你个人被黑客组织网络攻击了,都可以通过微信或邮件给我提供各种相关的威胁情报,这些威胁情报可以包含:

样本

域名

IP地址

钓鱼邮件

钓鱼网站

以及其它一些相关的威胁情报信息,同时笔者成立了一个MR安全团队,主要从事各种恶意软件的研究,包含这些恶意软件中涉及到的最新的漏洞,安全分析与研究公众号一直专注于全球恶意软件家族的分析与研究,跟踪分析全球黑客组织攻击活动,如果你有兴趣加入MR安全团队可以找我私聊,加入 MR安全团队的成员需要分享一些自己业余时间的一些安全技术分析报告或安全研究相关成果,安全的路很长,未来一定需要更多专业的安全研究人员,MR安全 团队的成员会一起学习,共同进步,同时MR安全团队的成员,可以免费加入笔者的知识星球和安全分析与研究专业群,与群里更多志同道合的朋友进行交流,学习!

王正

笔名:熊猫正正

恶意软件研究员

长期专注于全球各种流行恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究

心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!

我来评几句
登录后评论

已发表评论数()

相关站点

热门文章