与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门市集美软件园三期 C08栋 19F

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

俄罗斯多家服务中心遭黑客攻击 一个17年前的Office漏洞再被利用

发布时间:2018-06-13 来源: 浏览次数:10787次

网络安全解决方案提供商Fortinet(飞塔)旗下安全威胁研究团队FortiGuard最近发现了一系列针对俄罗斯多个服务中心网络攻击活动,这些服务中心为各种电子产品提供维护和技术支持。

FortiGuard团队指出,这些攻击活动都有一个显着的共同特点——那就是它们的发起者实施了多段攻击,但排除了国家黑客组织参与的可能性。

攻击者利用钓鱼电子邮件来传播恶意Office文档,而文档则会利用一个之前被报道隐藏了17年之久的Office远程代码执行漏洞(CVE-2017-11882)来下载一个商业化的远程访问木马(RAT)。

第一起攻击发生在3月底,一家负责三星电子产品维修的俄罗斯服务公司收到了几封电子邮件,自称来自三星公司的代表。电子邮件的内容是采用俄语编写的,并包含一个名为“ Symptom_and_repair_code_list.xlsx”的文件。

FortiGuard团队在仔细审查这封电子邮件后得出结论,它并不是一位由母语是俄语的人编写的。相反,它更像是来自翻译工具的产物。因此,FortiGuard团队认为攻击者极有可能并不是俄罗斯人。另外,发件人的IP地址也与“From”字段中的域没有关联。

虽然所有电子邮件都使用了不同的附件,但它们同样存在一个共同点——所有文件都是.XLSX微软Office EXCEL表格文件,以及都包含漏洞利用。

无论附件的标题或者内容如何,它们都会使用shellcode来执行各种任务,包括定位两个关键函数的地址:LoadLibraryA GetProcAddress。有了这两个函数,它就可以访问执行其有效载荷所需的任何函数。

shellcode导入的两个最重要的函数是:URLDownloadToFileWExpandEnvironmentStringsW。后者用于确定shellcode应该存储下载的有效载荷的确切位置,因为在不同平台下这个位置会有所不同。

有效载荷使用了多层加密软件保护来绕过安全检测。第一阶段实现了第一层保护,利用知名的ConfuserEx脱壳工具混淆了对象名称,以及方法和资源的名称,使人难以阅读和理解。这些资源用于确定使用DES加密的下一阶段有效载荷,并执行名为BootstrapCS的解密文件,该文件表示多层保护的第二阶段。

BootstrapCS是多层保护第二阶段中可执行文件的内部名称。这个层未进行混淆处理,但包含大量反分析检查功能。其资源模块提供的主要反分析功能包括:对模拟、沙箱和虚拟机执行各种检查,搜索并关闭指定的进程(如Wireshark网络分析工具、Fiddler Web Debugger抓包工具和WPE PRO网络封包工具),禁用系统实用程序(如命令提示符、注册表编辑器和用户访问控制UAC),将有效负载路径写入指定启动注册表项,通过分配系统和隐藏属性来隐藏文件,将有效载荷注入不同的进程

推荐新闻

“网络安全为人民 网络安全靠人民” | 2022国家网络安全宣传周

2022-09-09

9月5日上午,2022年国家网络安全宣传周开幕式暨网络安全技术高峰论坛在合肥滨湖会展中心举行。本届宣传周以“网络安...

终端防泄密还是得靠专业的加密系统来完成

2023-10-12

如何在不影响员工办公习惯的情况下,对可能出现敏感数据泄露的途径进行防护? 天锐DLP提供...

加密软件的发展趋势何在?

2021-09-27

当前,在企事业单位网络中加密业务占比日趋上升和攻防对抗的持续升级影响下,全球各领域行业的数据加密安全管控需求日益强...

数据加密系统是教育行业进行数据保护的好帮手

2023-01-04

教育机构企业中大量核心机密信息和重要数据,例如课件资料、视频信息、培训教案等,是非常宝贵的资产,他们需要保护线下的...

文件加密软件为什么深受众多企业厚爱?

2022-01-07

文件加密软件指的是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信号,但因不知解密的方法,...

Copyright ©2006-2024 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部