太阳集团2138备用网址

  • “12326”民航服务质量监督电话正式开通 2019-04-23
  • 中铁佰和佰樂金婚盛典2017重阳节完美绽放 2019-04-23
  • 保护长江生态环境今年主抓8方面工作——生态环境部部长李干杰回应生态环境保护热点问题 2019-04-23
  • 新疆台办开展走访慰问台商台企活动 2019-04-23
  • 标致301优惠1.5万起 时尚代步经济全面 2019-04-23
  • 欢迎进入红色轨迹党史网站 2019-04-23
  • 【华商侃车NO.28】重磅!为什么315这么多车主维权? 2019-04-23
  • “上会神器”造型各异! 2019-04-23
  • 曾经赫赫有名如今艰难生存:华硕的解药到底在哪儿? 2019-04-23
  • 全国政协常委吴晶倡议:唱响《国歌》 激发爱国情怀【图文】 2019-04-23
  • 首届青运会开幕式文体表演简约而不简单 2019-04-23
  • 中国法学会第八次全国会员代表大会在京开幕 2019-04-23
  • 我是谁?我是海关关员 2019-04-23
  • “立委”南北辅选? 韩國瑜:要看时间 2019-04-22
  • 中国—东盟时装周上演马来西亚设计师婚纱礼服秀 2019-04-22
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    URLZone:疑似针对日本高科技企业雇员的攻击活动分析

    来源:本站整理 作者:佚名 时间:2019-02-28 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 近期,360威胁情报中心捕获到多个专门针对日本地区计算机用户进行攻击的诱饵文档,文档为携带恶意宏的Office Excel文件。通过分析相关鱼叉邮件的收件人信息,我们发现受害者均为日本高科技企业雇员。从攻击的定向性、受害者分布及过往相关背景信息来看,攻击者主要目的是为敛财,同时也不排除其有窃取商业机密和知识产权的可能性。
    诱饵文档内的恶意宏代码及后续的PowerShell脚本会调用多个与系统语言区域相关的函数,并依赖于函数的返回值解密后续代码,从而实现专门针对日文系统使用者的精确投递。比如通过判断货币格式化后的长度、使用本机的LCID[1](Language Code Identifier)作为异或解密的密钥等方式来区分是否为日本地区的计算机。攻击者最终通过图片隐写技术下载并执行URLZone[2],并在随后的代码中进一步检测运行环境,以避免在沙盒、虚拟机以及分析机上暴露出恶意行为。
     
    攻击邮件
    360威胁情报中心在进行关联分析后,找到了十余封相关的邮件,针对佳能、藤田医科大学、土屋工业公司、Fujikin等公司和机构的雇员。与以往的攻击类似[3],邮件内容由日文组成,并通过伪造来自日本的发件人以增加被打开的概率。

    邮件正文内容并不具有针对性:

    样本分析
    VBA Macro
    文件名
    67874_2019年2月18.xls
    MD5
    b158d69db6ef7110ef4308f4b0749e0f
    文档作者
    ユーザー
    捕获到的该诱饵文档是一个Office Excel文件,其内嵌VBA宏。打开该文件会展示含有日文的图片来诱使目标启用宏,其内容如下:

    当受害者启用宏后,将自动执行恶意宏代码。我们在分析过程中提取的宏代码如下图所示:

    宏代码在Workbook_Open函数一开始就对运行环境进行了检测与过滤,当Select_t的长度与msoContactCardTypeUnknownContact不一致时就执行退出操作:

    msoContactCardTypeUnknownContact是一个Office内置的常量,在MSDN文档中[4]其值定义为2:

    因此为了保证后续代码的执行,Select_t的长度也应该是2,而该变量的值与货币类型相关:

    在日文澳门太阳集团备用网址中,将0格式化为货币后是“¥0”,故其长度值满足判断要求。然而在其它类型澳门太阳集团备用网址中,其结果的长度值很可能不满足要求。比如在中文澳门太阳集团备用网址下,格式化后的值是“¥0.00”,因此程序到此就退出结束了。

    接下来的代码会解密一串CMD命令,而其解密方法中也会使用到上述代码。这会造成在很多非日文系统环境下解密数据不完整,从而影响后续执行:

    正确解密后,最终将执行一系列CMD命令,把PowerShell代码写入环境变量ladnI以及相关的启动代码写入Zgo环境变量,并随后执行:

    Downloader(PowerShell Scripts)
    PowerShell的执行分两个阶段。首先执行VBA宏所解密出来的PowerShell脚本,从硬编码的URL地址下载PNG图片,随后提取隐藏的数据,进行解密、解压缩后得到第二阶段的PowerShell脚本。第二阶段的PowerShell脚本使用类似的方式获得URLZone恶意程序,并通过反射加载的方式在内存中直接运行。PowerShell脚本在执行过程中采用多种手段获取语言区域相关的常量值,并将结果与解密关联起来,从而使其只能在日文澳门太阳集团备用网址中正确运行。
    阶段1:
    VBA宏解密后得到的是经过混淆的PowerShell脚本,对关键代码去混淆后的程序逻辑将变得更加清晰,部分处理后的代码如下图所示:

    [1] [2] [3] [4]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。