某大型網絡安全活動中遇到的釣魚郵件

0x01 前言

 

 上個月參加了某大型網絡安全活動，在活動期間，遇到了各種各樣的釣魚攻擊，雖然技術性不高，正好自己也做個簡單的回顧。釣魚郵件主要是通過偽造，讓你相信郵件中的內容，郵件可以攜帶文字、圖片、網址、附件等多種信息媒介，結合社工手段可以對未經訓練的人群進行惡意攻擊。在高防護的企業目標上，釣魚郵件是一個通過人的弱點，打開防護大門的絕佳手段。遇到的釣魚方式有以下幾種：

0x02 遇到的幾種類型

    1.漏洞利用類

   一般是利用相關的文件類的漏洞，比較常見的漏洞如：CVE-2017-11882 （該漏洞主要是由於EQNEDT32.EXE進程在讀入包含MathType的ole數據時，在拷貝公式字體名稱時沒有對名稱長度進行校驗，從而造成棧緩沖區溢出，可以造成命令執行。具體可參考https://www.anquanke.com/post/id/87311），一般是郵件中說明簡單的情況，需要誘使收件人點擊附件，觸發惡意代碼。一般的郵件形式如下：

 

 

 

2. 偽造知名網站，一般是會以郵件管理者或者服務人員的名義發送郵件，誘使收件人進行升級或是密碼修改之類等話術。

 

 

 

 

這里打下來其中一台釣魚郵件的網站，大致的代碼如下：

 

 

 

 

3. 偽造文件，遠控類。一般偽造成PDF,word等文件，實際在運行的時候為exe文件（一般多為CS及msf的遠控木馬），點擊之后進行遠控。惡意文件一般為了繞過殺軟，會進行免殺處理，甚至特意對壓縮包設置密碼。如下面形式：

 

 

套路基本相同，就是誘騙點擊執行相關的惡意遠控木馬，這里列舉其中的一個例子：

 

其附件偽裝成pdf文檔，其實是為exe可執行文件，另外的幾個圖片其實是相關的dll文件。里面的pdf運行后，會調用相關的dll,施行遠控操作。

 

利用IDA進行反匯編，對其進行分析

 

 

首先拷貝文件夾下的 .jpg 文件到C:\Windows\Temp文件夾下，並執行。

 

 

其文件中QMIoc.dll為黑文件，其exe調用導出函數

 

 

對其進行調試，shellcode遠程連接VPS地址下載載荷，同時采用了域前置技術，對攻擊地址進行隱藏，增加了攻擊的難度。

 

 

4. 偽造文件，竊密類。把這類釣魚單獨列出來，這類木馬更隱蔽，它不會對系統進行過多的操作，只會不斷的監聽及收集相關的敏感信息，定期上傳到遠端的服務器上，這類更多的是APT組織的常見操作。如這次遇到的是利用Agent Tesla惡意工具生成惡意釣魚樣本，並將exe文件偽裝成其他類型的文件的釣魚攻擊。郵件如下：

 

 

 

附件中包含經過偽裝的惡意exe，該惡意程序屬於為Agent tesla家族中的一種：

 

樣本基本信息：

 

相關的危險行為：

1. 調用powershell執行腳本

 

2. 自我復制，並設置文件屬性

 

 

3. 設置計划任務

 

 

4. 進行竊密行為

竊取瀏覽器敏感信息

 

 

竊取郵箱、瀏覽器等敏感信息

 

惡意程序執行的進程樹

 

 

樣本設置了反虛擬、反調試等設置，樣本中的數據進行了加密，通過真實物理機上運行惡意樣本，抓取了真實的物理機的通信流量。發現惡意樣本定時向遠端的ftp服務器上傳數據。

 

可以登錄到其ftp，發現上面竊取了大量的個人信息。

 

進行鍵盤記錄

 

竊取瀏覽器的密碼及cookie等信息

 

 

0x03 防護手段

在當前的網絡安全的形式下，網站的防護越來嚴格，釣魚攻擊成為一種利用人的漏洞來攻破的高防護體系的有效方法，被越來越多的APT組織及紅隊攻防人員所使用。我把防御的手段也簡單的歸攏了一下：

1. 還是增強人員的安全意識，人的漏洞還是需要人自己通過提升自己的安全等級來防護。

2. 對發件人進行檢測。可以設置SPF、DKIM、DMARC。

其中SPF是一種以IP地址認證電子郵件發件人身份的技術。接收郵件方會首先檢查域名的SPF記錄，來確定發件人的IP地址是否被包含在SPF記錄里面。

DKIM是域名密鑰識別郵件標准。DKIM 的基本工作原理同樣是基於傳統的密鑰認證方式，他會產生兩組鑰匙，公鑰(public key)和私鑰(private key)，公鑰將會存放在 DNS 中，而私鑰會存放在寄信服務器中。數字簽名會自動產生，並依附在郵件頭中，發送到寄信者的服務器里。公鑰則放在DNS服務器上，供自動獲得。收信的服務器，將會收到夾帶在郵件頭中的簽名和在DNS上自己獲取公鑰，然后進行比對，比較寄信者的域名是否合法，如果不合法，則判定為垃圾郵件。

DMARC協議基於現有的DKIM和SPF兩大主流電子郵件安全協議，由Mail Sender方（域名擁有者Domain Owner）在DNS里聲明自己采用該協議。當Mail Receiver方（其MTA需支持DMARC協議）收到該域發送過來的郵件時，則進行DMARC校驗，若校驗失敗還需發送一封report到指定URI（常是一個郵箱地址）。

3. 內容檢測。基於郵件的內容進行檢測，檢測內容中是否包含常用的釣魚郵件關鍵字及惡意鏈接。

4. 威脅情報。基於威脅情報，對釣魚郵件的IP及域名進行檢測。

 

5. 郵件附件檢測。對於郵件中的附件進行沙箱檢測。