Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.
You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.
Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen
Tel: 400-666-0170/0592-2565820
Official website: www.tipray.com
Customer service: sales@tipray.com
Market cooperation: market@tipray.com
网络安全解决方案提供商Fortinet(飞塔)旗下安全威胁研究团队FortiGuard最近发现了一系列针对俄罗斯多个服务中心网络攻击活动,这些服务中心为各种电子产品提供维护和技术支持。
FortiGuard团队指出,这些攻击活动都有一个显着的共同特点——那就是它们的发起者实施了“多段”攻击,但排除了国家黑客组织参与的可能性。
攻击者利用钓鱼电子邮件来传播恶意Office文档,而文档则会利用一个之前被报道隐藏了17年之久的Office远程代码执行漏洞(CVE-2017-11882)来下载一个商业化的远程访问木马(RAT)。
第一起攻击发生在3月底,一家负责三星电子产品维修的俄罗斯服务公司收到了几封电子邮件,自称来自三星公司的代表。电子邮件的内容是采用俄语编写的,并包含一个名为“ Symptom_and_repair_code_list.xlsx”的文件。
FortiGuard团队在仔细审查这封电子邮件后得出结论,它并不是一位由母语是俄语的人编写的。相反,它更像是来自翻译工具的产物。因此,FortiGuard团队认为攻击者极有可能并不是俄罗斯人。另外,发件人的IP地址也与“From”字段中的域没有关联。
虽然所有电子邮件都使用了不同的附件,但它们同样存在一个共同点——所有文件都是.XLSX微软Office EXCEL表格文件,以及都包含漏洞利用。
无论附件的标题或者内容如何,它们都会使用shellcode来执行各种任务,包括定位两个关键函数的地址:LoadLibraryA 和GetProcAddress。有了这两个函数,它就可以访问执行其有效载荷所需的任何函数。
由shellcode导入的两个最重要的函数是:URLDownloadToFileW和ExpandEnvironmentStringsW。后者用于确定shellcode应该存储下载的有效载荷的确切位置,因为在不同平台下这个位置会有所不同。
有效载荷使用了多层加密软件保护来绕过安全检测。第一阶段实现了第一层保护,利用知名的ConfuserEx脱壳工具混淆了对象名称,以及方法和资源的名称,使人难以阅读和理解。这些资源用于确定使用DES加密的下一阶段有效载荷,并执行名为BootstrapCS的解密文件,该文件表示多层保护的第二阶段。
BootstrapCS是多层保护第二阶段中可执行文件的内部名称。这个层未进行混淆处理,但包含大量反分析检查功能。其资源模块提供的主要反分析功能包括:对模拟、沙箱和虚拟机执行各种检查,搜索并关闭指定的进程(如Wireshark网络分析工具、Fiddler Web Debugger抓包工具和WPE PRO网络封包工具),禁用系统实用程序(如命令提示符、注册表编辑器和用户访问控制UAC),将有效负载路径写入指定启动注册表项,通过分配系统和隐藏属性来隐藏文件,将有效载荷注入不同的进程
客服
热线
400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话