官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
要不说网络安全行业卷呢,黑产大佬搞个发票钓鱼都反沙箱,还有没有人性!!!
近期捕获到一起利用电子发票主题的钓鱼案件(已脱敏),使用的技战术包括:链接隐藏,发件人伪装,恶意链接,后门安装,请注意防范。
1、初始投递
邮件内容如下:
传到deepphish EML分析平台跑一下。可以看出攻击者大概率是自建了邮件服务发送。SPF通过了检查,DKIM也做了设置。
发件服务器IP: 45.205.30.221。
邮件中的“点击下载此发票”实际上是做了基本的链接隐藏,隐藏的URL如下图所示,当用户信了他的鬼话点击链接后,会从恶意URL下载到一个病毒文件,该URL可能会做一些跳转,引导到攻击团伙最新的病毒下载地址上。
下载后是一个zip包,无密码解压后是exe文件,比较大,也是为了bypass 沙箱和AV的检测
其他疑点看起来太累,暂且用AI跑一跑
AI社工话术分析如下:
AI技术特征分析如下:
X mailer 邮件头:
2、相关IOC信息
IOC太多,只列举几个
根据不同样本中的病毒下载域名查询,注册人疑似都是好哥们:
IP则不固定,但均为新加坡阿里云:
发件IP专门做了邮件服务的搭建,以绕过常规邮件安全策略:
发件域名注册信息如下:
3、沙箱结果如下
跑沙箱发现病毒做了反沙箱的设置,一般的沙箱跑不出来,只能去大集成商VT上试试了,杀软查杀率一般,连国际头牌CS,S1都显示绿色。
病毒反连地址为香港:
其他不再赘述,有兴趣的小伙伴上VT看https://www.virustotal.com/gui/file/f56fdc4e28b9f2f0a948f8adb7d11a24884ecce4abcf15dfd2803329edf24146
4、总结
攻击者用一个大文件+反沙箱+免杀机制立体化突破主流检测手段,防不胜防。
在企业安全体系架构中,这么多年大家已经从传统的防御补上了更多的DR手段,但再往前的预测、预防没做太多,或落地太少。以前可以突破防御的,现在也可以突破检测。
各企业员工注意防范,钓鱼模版已更新到DeepPhish反钓训练平台。
支持我们,在钓鱼中招前打一针疫苗!
- EML分析工具:deepphish.cn/eml
- 反钓鱼训练平台:deepphish.cn/apt
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)