冒充安恆資訊對看雪論壇的一次定向釣魚攻擊

釣魚攻擊是網路犯罪團伙常用的一種手段，很多勒索病毒都曾使用郵件釣魚的方式欺騙受害者開啟相應的附件，執行惡意樣本，導致受害者被勒索加密，釣魚郵件攻擊也是APT攻擊的常用手段之一，如果收到陌生的郵件，千萬不要隨便點選附件連結或開啟郵件附件中的檔案。

中午吃飯看到群裡有人發貼子，好像是看雪被釣魚，看雪論壇應該是很多安全從業者的啟蒙論壇，我也是從看雪論壇走出來的，從上面學到了不少東西，認識了不少朋友，非常感謝看雪論壇，竟然被釣魚攻擊了，於是上去看了一下，鋼哥在論壇也發了貼子，公佈了郵件資訊，從郵件資訊上看釣魚攻擊者冒充了安恆資訊公司的郵件，如下所示：

兩封郵件附帶的惡意連結都是一樣的，如下：

http：//www。

dbappsecurtiy。com/pediy

/error。hta

error。hta是一個vbs指令碼，內嵌powershell指令碼，如下所示：

執行hta指令碼之後，呼叫執行內嵌的powershell指令碼，如下所示：

解密出powershell指令碼，如下所示：

此Powershell指令碼與遠端伺服器進行通訊，獲取返回資料，捕獲到的流量資訊，如下所示：

解密獲取的PowerShell指令碼獲取主機相關資訊，與遠端伺服器通訊，解密出來的PowerShell指令碼程式碼，如下所示：

捕獲到的網路流量資料，如下所示：

再次解密獲取到的PowerShell指令碼，如下所示：

該指令碼會設定預設的返回資料資訊包，如下所示：

解密出來的返回資料包資訊，如下所示：

與我們上面捕獲到的資料流量包一致，PowerShell指令碼透過遠端伺服器返回相應的操作指令，如下所示：

CMD遠端控制指令過程，如下所示：

透過CMD指令可以遠端獲取主機檔案，程序等資訊，下載，上傳檔案等操作，監控網路流量資料，如下所示：

這次釣魚定向攻擊，釣魚攻擊者冒充的發件人郵件資訊：

wu。jinyan@dbapp

securtiy

。com

很明顯冒充了安恆的郵箱，安恆的郵箱地址字尾是dbapp

security

。com

這應該是一次有目的性，透過釣魚郵件定向攻擊目標，並進行遠端控制的網路攻擊行為，此次釣魚郵件定向攻擊同樣採用”無檔案”攻擊手法，無落地PE檔案，郵件附件中只包含一個HTA指令碼檔案，透過執行HTA指令碼呼叫PowerShell執行所有的惡意操作

現在的釣魚郵件攻擊越來越多，各企業或網站的相關管理人員，一定要擦亮眼睛，以防被釣魚攻擊，不要輕易開啟陌生的郵件以及附件。

IOC

584437BC8063B64FB65D2882A7DDBD89

C&C

45。89。175。192

http：//

www2。netstorehosting。com

URL

hxxp：//www。dbappsecurtiy［。］com/pediy/error。hta

www2。netstorehosting［。］com/login/process。php

www2。netstorehosting［。］com/admin/get。php

www2。netstorehosting［。］com/news。php

*本文來源：安全分析與研究，轉載請註明出處