360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360安全云盤
360隨身WiFi
360搜索
系統急救箱
重裝大師
勒索病毒救助
急救盤
高危漏洞免疫
360壓縮
驅動大師
魯大師
360換機助手
360清理大師Win10
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
360加固保
360貸款神器
360手機瀏覽器
360安全云盤
360免費WiFi
安全客
手機助手
安全換機
360幫幫
清理大師
省電王
360商城
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360互助
信貸管家
360攝像機云臺AI版
360攝像機小水滴AI版
360攝像機云臺變焦版
360可視門鈴
360攝像機云臺1080p
家庭防火墻V5S增強版
家庭防火墻5Pro
家庭防火墻5SV2
家庭防火墻路由器5C
360兒童手表S1
360兒童手表8X
360兒童手表P1
360兒童手表SE5
360智能健康手表
行車記錄儀M310
行車記錄儀K600
行車記錄儀G380
360行車記錄儀G600
兒童安全座椅
360掃地機器人X90
360掃地機器人T90
360掃地機器人S7
360掃地機器人S6
360掃地機器人S5
360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360隨身WiFi
360搜索
系統急救箱
重裝大師
急救盤
勒索病毒救助
360壓縮
驅動大師
魯大師
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
手機急救箱
360加固保
360貸款神器
360免費WiFi
安全客
手機助手
一鍵root
安全換機
360幫幫
信用衛士
清理大師
省電王
360商城
流量衛士
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360手機N7
360手機N6
Pro
360手機vizza
360手機N5S
360兒童手表6C
360兒童手表6W
360兒童手表SE2代
360手表SE2Plus
360老人手表
360攝像機大眾版
360安全路由器P3
360安全路由器P2
360兒童機器人
外設產品
影音娛樂
平板電腦
二手手機
二代 美猴王版
二代
美猴王領航版
標準升級版
后視鏡版
車載電器銀狐再臨——瞄準財稅崗位定向釣魚攻擊
近日,一年一度的辦稅時間又到了。正當大家都忙著辦理個稅年度匯算申報的時候,銀狐木馬家族也悄然行動了起來。利用各式各樣的釣魚手段對受害者展開攻擊,這其中財務崗位的相關人員更是備受“關照”的重點人群。
情況概述
360安全大腦監測到每天都有大量的用戶遭到銀狐木馬發起的釣魚攻擊。目前,銀狐木馬發起釣魚攻擊的途徑主要有三種:
一、 通過即時通信軟件發起攻擊。這種途徑受害者眾多,且只要有一人中招,則基本上此人所在的群組以至于整個公司組織都會遭到釣魚攻擊;
二、 通過釣魚頁面發起攻擊。這種方式基本上是通過構建專門的頁面,有針對性的向財務崗位相關人員發起的定向攻擊;
三、 通過釣魚郵件發起攻擊。此類方法針對性相對較弱,更類似于一種“撒網捕魚”的形式。
下圖是近期的攻擊態勢,由圖表也可非常直觀的發現銀狐木馬的活躍度在近一個多月的時間內有著非常顯著的增加:
圖1. 銀狐木馬近期攻擊態勢?
釣魚攻擊說明
針對上述三種通過不同途徑進行的釣魚攻擊,我們對其具體攻擊方式及手法進行逐一介紹。
即時通信軟件釣魚信息攻擊
通過即時通信軟件發動釣魚攻擊的情況則又分為兩種方式——直接發送木馬程序或通過消息發送釣魚鏈接。
一、 直接發送木馬程序
此類攻擊中,攻擊者會通過即時通信軟件將木馬程序偽裝成正常程序或文件傳輸給受害者,并誘導其點擊運行。其常用的文件名大多是財稅相關的資料名稱,如:
l? “稅-務-稽-查-名-單”
l? “(國家稅務總局)納稅企業申請退稅補貼標準”
l? “2024稅務總局關于企業和個人所得稅政策”
而文件格式則通常有EXE可執行程序、CHM文檔、MSI安裝包、VB Script腳本等。例如下面其中的一個受害者,攻擊者便是將MSI安裝包再次打入壓縮包中發送至財務人員的通信群中。利用這種方式導致大量財務人員中招,危害范圍極大。
而攻擊者在一次攻擊得手后則會將剛剛拿到控制權的電腦中的即時通信軟件作為跳板再度群發釣魚木馬,以此模式讓木馬蔓延,不斷擴大木馬的傳播范圍。
圖2. 銀狐木馬通過即時通信軟件傳播?
而在另一個同類型受害者的案例中,此類攻擊則導致了其所在公司的幾乎全部辦公電腦都中了銀狐木馬。無論是對公司還是個人都造成了巨大的危害與損失。
與此同時,攻擊者為了規避一些安全軟件的查殺,還使用了在Windows平臺下較為罕見的bzip2壓縮格式(以.bz2為后綴)進行打包,并輔以壓縮i密碼來規避安全掃描。
圖3. 360安全大腦詢問解碼密碼以便進行安全掃描?
圖4. 360壓縮警告壓縮包內含有木馬程序?
二、 通過消息傳送釣魚鏈接
除了直接發送木馬程序以外,攻擊者還可能直接通過信息內容發送一個釣魚鏈接,讓用戶下載一個下載者木馬。而該下載者木馬一旦被執行,則又會去下載一款第三方的遠控軟件控制受害者機器。
例如下面的這個受害者機器上,就是被下載了第三只眼遠控程序。該工具可以遠程控制所在機器并可能會盜取用戶的資料以及進行其他更多的非法操作。
圖5. 用戶反饋接收到含有惡意下載鏈接的通信消息?
網頁釣魚攻擊
該方法是通過精心構造的釣魚頁面誘騙受害者主動訪問、下載并最終執行其頁面中所帶有的木馬程序。而在近期,360監控到以“稅務稽查”、“個稅退款”等為主要內容的釣魚頁面均有顯著增加。此類釣魚頁面的主題中通常含有“增值稅電子普通發票”、“電腦下載查詢名單”、“2024季度稅務稽查報告”等與財稅有著密切關系的內容,用以迷惑用戶。
例如下面這個案例中,受害者便是從釣魚頁面中下載了遠控木馬到本地執行。而該遠控木馬會控制受害用戶的機器并進行非法操作。典型的釣魚頁面如下圖:
圖6. 典型釣魚頁面?
此外,為了與安全軟件的檢測機制進行對抗,部分木馬還會使用Blob URL的形式進行下載。
圖7. 木馬利用Blob URL形式進行下載?
釣魚郵件攻擊
與通過即時通信軟件進行攻擊的情況類似,通過釣魚郵件形式發起的攻擊同樣存在通過郵件內容發送木馬下載鏈接或是直接發送木馬程序附件兩種形式。在360接到的反饋案例中,就有少量受害者是遭到了來自釣魚郵箱的攻擊,而具體的攻擊方法就是將木馬程序偽裝成發票文件并以附件形式同郵件一并發送給受害用戶。用戶因其一時疏忽直接打開了附件中的“發票”進行查看,最終導致其機器中了遠控木馬。
由于此類攻擊的情況與即時通信軟件釣魚信息攻擊的情形頗為相似,加之在本輪攻擊中使用該方法發起的相對較少,此處便不再贅述。
木馬功能解析
而無論是使用何種方式進入受害用戶的設備中,最終都會釋放銀狐木馬進行攻擊。針對目前捕獲到的木馬樣本進行分析發現,近期銀狐木馬的免殺與技術路線變更依然頻繁。其背后的開發者明顯是試圖通過這種不斷的變化來繞過安全軟件防御。下面,我們通過其中一個典型的木馬樣本為例,對其代碼及功能進行進一步解析。
該樣本下載地址為:
hxxps://nechina.net/916.zip
而下載到的壓縮包中包含有一個名為“916.chm”的文件,該chm會通過內嵌的JS腳本訪問遠端惡意網址,并加載其服務器上的load.xsl文件。
圖8. CHM文件內嵌JS腳本代碼內容?
而這個load.xsl文件的內容,是一段經由Base64算法編碼后的數據。
圖9. load.xml中的編碼內容?
將其內容解碼后會顯示需要下載一個“config.txt”文件,而該文件內容則是要再次給出下一步要跳轉到的鏈接地址。
圖10. config.txt指定的下一步跳轉鏈接?
文件中所指示需要下載的三個文件中,zfnxs.exe會自解壓其內部壓縮的惡意程序并執行。進而加載ffmpg.dll文件對foo.png文件中的惡意內容進行解析和執行。
圖11. ffmpg.dll文件中的解析功能代碼?
最終所得到的內容是基于經典遠控木馬Gh0st改造而來的遠程控制代碼,該功能代碼擁有Gh0st遠控所具備的全部功能。這些功能包括但不限于:鍵盤記錄、文件瀏覽、命令執行、瀏覽器信息竊取等。
圖12. 木馬主體啟動進程關系圖?
此外,該木馬還會在用戶機器上釋放“第三眼遠控工具”以獲取更多的控制功能。
圖13. “第三眼遠控工具”啟動進程關系圖?
安全建議
對于各類釣魚攻擊,我們向廣大用戶提出以下幾點安全建議:
1. 安裝安全軟件并確保其防護功能已被完整開啟,保證安全軟件能有效保護設備免受惡意攻擊;
2. 相信安全軟件的判斷,切勿輕易將報毒程序添加至信任區或退出安全軟件;
3. 在確定安全性之前,切勿打開各類即時通信軟件或郵件中附帶的可疑附件或鏈接地址。
而針對銀狐木馬本輪攻擊的特點,我們進一步呼吁各企事業單位或政府機關:
1. 人員角度:重視對財稅人員的信息安全培訓,加強財稅人員的信息安全意識和識別能力;
2. 技術層面:通過各類軟/硬件防護體系的構建,對財稅設備與各類服務器設備、一般辦公設備、其他類型重要設備均進行安全隔離和專項防護。最大限度的保障各類設備組群的相對獨立性及安全性;
3. 制度層面:完善財稅等重要崗位的責任制度,將信息安全的相關能力和事故影響納入到考核指標及問責體系當中。
京公網安備 11000002000006號