钓鱼攻击
样本1:
样本行为
伪装成通达OA 0dayPOC的恶意可执行程序。运行后会获取temp目录从而生成多个文件。
C:\\Users\Public目录 或 \\Users\\Public\\Temp目录下创建qugbqibglqlGEBEGGIEuehti.txt文件
C:\\User\\Public\\mKD.exe文件
C:\\Users\Admin\AppData\Local\Temp\通达OA最新版本注入.md
恶意域名
https://github.com/Sec-Fork/2022hvv0day
C2地址
43.129.158.31:5555
43.129.158.31:4433
处置建议
请勿点击未知链接
样本2:
样本行为
在正常的Github网站下,伪装成fofahub的激活key文件诱导用户下载,打开docx文档后会自动访问恶意链接:
hxxp://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/pst.jsp
攻击者捕获用户IP,并释放恶意文件进行后续攻击
恶意文件
FofaHubKey.docx、pos[1].gif
样本行为
链接存放在doxc文档的word\footer2.xml以及\word\_rels\footer2.xml.rels
文件中
处置建议
请勿点击未知链接
钓鱼攻击简介
维基百科:
钓鱼式攻击(英语:Phishing,与英语fishing发音一样;又名网钓法或网络网钓,简称网钓)是一种企图从电子通信中,透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称(自己)来自于风行的社交网站(YouTube、Facebook、MySpace)、拍卖网站(eBay)、网络银行、电子支付网站(PayPal)、或网络管理者(雅虎、互联网服务提供商、公司机关),以此来诱骗受害人的轻信。网钓通常是透过e-mail或者即时通信进行。它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人资料。就算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例。它凭恃的是现行网络安全技术的低亲和度。种种对抗日渐增多网钓案例的尝试涵盖立法层面、用户培训层面、宣传层面、与技术保全措施层面。
网钓技术最早于1987年问世,而首度使用“网钓”这个术语是在1996年。该辞是英文单词钓鱼(fishing)的变种之一,大概是受到“飞客”(phreaking)一词影响,意味着放线钓鱼以“钓”取受害人财务资料和密码。