一則郵件攻擊樣本分析分享

一、

前言

通過郵件投遞病毒文件是網路攻擊常用的一種方式，因此防禦郵件攻擊是每個安全團隊都需要重點考慮的內容。中興通訊每天都會收到數萬封外部郵件，為了及時檢測每封郵件是否含有惡意文件，中興ZInsight團隊部署了自研的高級郵件防禦系統，針對每個郵件附件，通過動態行為分析的方式檢測是否存在威脅。本文介紹近期捕獲的一起攻擊事件，分析其攻擊過程。

二、

攻擊郵件的捕獲與分析

近日，中興高級郵件防禦系統捕獲了一批使用高危word附件進行定向攻擊的釣魚郵件，攻擊對象均為同一項目團隊成員，引起了安全人員的重視。下面是郵件附件的分析報告：

從分析報告中可以清晰的看到，此word文件有創建進程的異常行為，另外也發現了異常的網路行為，可以猜測這是一個下載器。經安全人員進一步分析發現，在word附件中使用了宏病毒，宏病毒由vb寫成，採用了加密混淆等方式逃避殺軟的檢測，見下圖：

vb腳本經過混淆，但依然可以看出有聯網的痕迹，如下段代碼可見http://和.com的痕迹：

啟用宏後打開此文檔會自動運行腳本，ProcessExplorer上可見其調用cmd.exe執行腳本命令：

該腳本首先通過dns查詢若干個惡意網址，連接成功後通過http下載exe文件並運行。通過跟蹤，發現其連上solvolab.com/sdB這個惡意網址，下載PE文件並運行。data chunk中可見可執行文件的PE頭中的標識和欄位：

下載的可執行文件會自動運行並添加到服務，名稱為buildbuild：

三、

下載的惡意樣本分析

對下載的buildbuild.exe樣本進行分析，主要功能如下：

1.

搜集smartcard信息

該樣本通過註冊表查詢smartCards信息：

逆向分析可見其存在查找4G卡的服務提供商，獲取虛擬按鍵等較明顯的搜集敏感信息的行為：

2.

自寫殼

該樣本在PEiD中顯示「查無此殼」，也沒有任何語言信息，推測為不常見的殼，很有可能是自寫的。

此類殼沒法用工具自動脫殼，只能手脫。調試過程中發現這個殼的寫法還是比較常規的思路：

1) 調用VirtualAlloc為各個區段分配內存，將加密的區段數據解密到各自對應的內存空間，並調用VirtualProtect根據區段的屬性修改內存操作許可權：

2) 調用LoadLibrary載入dll，調用GetProcAddress分別獲取dll中目標函數地址。  

3) 跳到解密後的代碼執行，如下圖001A1000存放的為解碼後的.text區段代碼：

4) 中間穿插了GetTickCount等反調試手法：

若發現處在調試狀態，會通過遍歷進程的方式找到並結束自身進程。進程遍歷也是常規手法：

調用CreateToolhelp32Snapshot建立進程快照，通過Process32FirstW和Process32NextW進行遍歷來找到當前進程，然後通過CloseHandle直接結束進程。

判斷是否為當前進程的方法是在上圖Call ebx函數中實現，通過調用GetCurrentProcessId獲取當前進程ID，和保存的遍歷到的進程ID對比，相同就說明當前遍歷的進程信息為目標進程。

3.

創建子進程

為干擾逆向分析，該樣本在運行過程中會調用CreateProcessW創建子進程。

在內存中修改CreationFlags入參為0x00000004（CREATE_SUSPENDED），使子進程創建後自動掛起，然後直接在od中找到其進程號attach即可調試子進程。

子進程創建成功後，病毒主要功能都在子進程中進行，而父進程將退出。

以下皆為子進程中運行的功能。

4.

信息收集和系統監控

樣本沒有自己實現該功能，而是調用了第三方動態庫winimhc3.dll、winbrohc.dll、winhafnt.dll等。這些dll是 OCular Agent產品的重要組件。OCular Agent為一電腦監控軟體，由SurveilStar Inc開發，數字簽名為T.E.C Solutions (G.Z.)Limited，可以記錄電子郵件,聊天和即時信息,網站訪問,搜索歷史,計劃活動,文件操作等等。其動態庫常被殺軟識別為惡意軟體。

winimhc3逆向顯示很多監控的痕迹，如IMHook、枚舉窗口等：

Winbrohc中實現了很多監控功能諸如文件遍歷、監控應用程序數據、檢索殺軟、搜索資料庫、修改history文件和註冊表等。

調用FindFirstFileW和FindNextFileW進行文件遍歷：

監控包括explorer、cmd、winword在內的多個程序：

獲取磁碟信息：

獲取各種瀏覽器和雲盤中的用戶信息及歷史數據：

檢測殺軟：

監控explorer、cmd等常用程序：

獲取ProcessToken，提權：

查找賬戶信息：

監控郵件：

5.

自刪除

6.

自我複製

自我複製到在c:windowssystem32目錄下，目的是為了後續創建服務用：

4F4句柄在OD中查知為c:windowssystem32uildbuld.exe：

這個過程並沒有直接調用kernel32的WriteFile實現，而是通過外殼函數SHFileOperationW實現，該函數最終會去調用WriteFile函數：

SHFileOperation是一種外殼函數，用它可以實現各種文件操作，如文件的拷貝、刪除、移動等，該函數使用起來非常簡單，它只有一個指向SHFILEOPSTRUCT結構的參數。使用SHFileOperation( )函數時只要填寫該專用結構--SHFILEOPSTRUCT，告訴Windows執行什麼樣的操作，以及其它重要信息就行了。

 7.

創建服務

使用之前自我複製的c:windowssystem32uildbuild.exe文件創建服務：

四、樣本分析總結

該樣本採用了很多方法干擾逆向，例如自寫殼、子進程、反調試、以及調用第三方監控軟體的dll等等。並且調試過程中發現該樣本總是用VirtualAlloc分配內存，然後將要執行的部分代碼拷入內存中執行，同時喜歡用類似call eax的函數調用手法，使得無法使用IDA等工具查看其代碼邏輯，只能依靠手調。

功能比較常規，但是並沒有自己實現，而是調用了第三方的監控軟體中的dll，一方面功能大而全，另一方面其龐大的代碼量也可以起到干擾逆向的效果。

五、防禦建議

郵件攻擊是非常普遍的一類網路攻擊，當企業收到的攻擊郵件集中於某一團隊時，需要格外注意，很可能是有目的的定向攻擊，需要及時預警，提醒團隊加強防範，不要輕易打開郵件的附件和鏈接，對可疑文件進行殺毒，必要時通過沙箱進行動態行為檢測。

buildbuild.exe樣本MD5：

95240732d90027df7cb2c6c74804253b

*

本文作者：ZInsight團隊，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！