界面模式
登录
注册
会员
帮助
加入收藏夹
客服微信
瑞星卡卡安全论坛
技术交流区
反病毒/反流氓软件论坛
阅读电子书,密码资料都被盗, 幽灵电子书来袭!
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星个人防火墙V16
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
技术交流区
反病毒/反流氓软件论坛
可疑文件交流
恶意网站交流
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
影音贴图
瑞星安全游戏
活动专区
本站站务区
站务
瑞星“1+2”全新解决方案巡展在广州画上圆满句号
叶院长揭秘:瑞星如何运用AI技术革新网络安全
俄乌冲突加剧网络攻击风险 白俄罗斯政府遭APT攻击
瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
实力拉满 瑞星第四十七次通过VB100测评
携手老友,拥抱新精彩 —— 新论坛新活动,感谢你的陪伴
护航司法,瑞星助力山西省高院构建安全防线
人工智能在网络安全领域的风险和机遇
1
1
/ 1 页
跳转
页
[转载] 阅读电子书,密码资料都被盗, 幽灵电子书来袭!
收藏
瑞星工程师16
在线技术支持工程师
帖子:
9362
注册:
2008-09-08
来自:
发表于: 2016-03-03 14:01
|
只看楼主
短消息
资料
字号:
小
中
大
1楼
阅读电子书,密码资料都被盗, 幽灵电子书来袭!
阅读电子书,密码资料都被盗,
幽灵电子书来袭!
作者:瑞星
一、事件经过
2016年2月26日,一个网络安全相关的QQ群内,一名用户分享了一份名为
“
网络xxx典
.chm
”
的电子书供大家下载,瑞星网络安全工程师Bfish自然地下载了这本电子书,打算简单翻阅后决定是否收藏。当Bfish打开这个才12K大小的电子书时,感知到了计算机的异常行为,这让他意识到:这本电子书有问题。
在解开这份CHM文档后,瑞星网络安全工程师在一个html页面中找到了原因:这个电子书中的某个HTML页面内,嵌入了一段恶意代码,它可以下载一个PowerShell脚本并执行。顺藤摸瓜,Bfish最终确认了这是一个针对特定人群,以盗取用户帐号密码、文档资料为目的恶意攻击事件。这段CHM恶意代码如同幽灵一样被执行并作恶,故将此称之为幽灵电子书(ChmGhost)。
二、主要危害
通过电子书散播,攻击受众有很强的群体性,对特定人群发起攻击简直易如反掌,而且电子书
“
诱饵
”
更容易迷惑大众。
目前看到的攻击代码,主要的危害为窃取用户隐私:
Windows
账户信息和密码、各类应用程序的密码、计算机基本信息、屏幕截图、网络配置和
Wi-Fi
信息、各类文档,造成用户敏感信息和资料泄漏。这些资料的泄漏伴随着商业机密泄漏的风险,后续或造成更大的损失。
另外,攻击时所用的恶意代码,无论是二进制还是脚本,几乎都来自网络下载,攻击可以随时开启和关闭,攻击手法、攻击目的也都可以变化,这个
“
后门
”
的潜在危害也相当之大。
2月26日发现的CHM的标题是网络安全相关的,并且在网络安全相关的QQ群内散播,表明攻击者的目标是网络安全从业和对网络安全感兴趣的、有一定计算机安全基础的群体,但就算如此,仅一天时间就已经有多名受害者,如果攻击者转到其他领域,受众群体应该会更没有感知能力,危害也将更大。
三、攻击实施纵览
4078750.png
(102.95 K)
2016-3-3 14:01:18
四、详细技术分析
首先,
CHM
中使用了一种古老的方法
—
利用Internet.HHCtrl对象来运行任意命令行。doc1.html中定义了一个Internet.HHCtrl对象,再通过后续脚本触发其Click事件,调用Internet.HHCtrl
.
Item2定义的命令行。
QQ截图20160303132813.png
(74.24 K)
2016-3-3 14:01:18
完整命令行如下:
命令行以隐藏方式启动PowerShell,并执行下载攻击者托管于Github上的攻击脚本
——
start.ps1。
start.ps1首先向106.80.36.165发起一个HTTP请求,下载的内容为一段PowerShell脚本
字符串,通过
Invoke-Expression
直接调用,脚本内容如下:
图片43.png
(75.97 K)
2016-3-3 14:01:18
根据脚本中指明的方法,对其中的BASE64编码串进行解码、解压缩,又获得一段PowerShell脚本,内容如下:
图片44.png
(156.78 K)
2016-3-3 14:01:18
按照脚本中指明的方法对BASE64串解码,获得一段二进制数据,为32位x86指令的shellcode。脚本在解码这段shellcode后,将其拷贝到通过VirtualAlloc分配的一块RWX
(Protect为0x40)的
内存
中,并通过CreateThread创建一个线程来执行,如下:
图片45.png
(30.98 K)
2016-3-3 14:01:18
图片46.png
(55.62 K)
2016-3-3 14:01:18
这段shellcode并没有经过任何加密处理,功能也非常简单:连接到指定的IP地址,获取一段新的shellcode,再次执行。虽然简单,但是这中动态执行来自网络代码的功能,危害却是相当之大,因为攻击者随时可以下发新的代码,完成新的攻击,并且没有痕迹可循。
主流程如下表所示:
QQ截图20160303133151.png
(191.82 K)
2016-3-3 14:01:18
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E)
瑞星工程师16 最后编辑于 2016-03-03 15:43:08
分享到:
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
18739
贡献:
40
金钱:
0
状态:
离线
等级:
瑞星工程师16
在线技术支持工程师
帖子:
9362
注册:
2008-09-08
来自:
发表于: 2016-03-03 14:33
|
只看楼主
短消息
资料
字号:
小
中
大
2楼
回复: 阅读电子书,密码资料都被盗, 幽灵电子书来袭!
接下来是 M
imikatz
2.0的实现部分,这部分代码占据了整个start.ps1文件的绝大多数内容。
Mimikatz
是一个抓取本机登录账户密码的神器,更多信息可以从项目主页
图片49.jpg
(93.17 K)
2016-3-3 14:33:40
https://github.com/gentilkiwi/mimikatz
了解。
图片50.png
(49.44 K)
2016-3-3 14:33:40
接着便是调用
Mimikatz
的 Dumpcreds 来获取当前登陆用户的密码,如图所示:
图片51.png
(107.61 K)
2016-3-3 14:33:40
完成后生成的DumpPass.txt中的内容如下,截图来自真实受害者的数据:
接着,收集当前用户桌面上的几类文档,根据扩展名判断,扩展名分别为:
txt
,d
oc
,
docx
,
xls
,
xlsx
,早期版本中还有
sql
。非常明显,攻击者收集目标是重要的文档资料,这对受害者可能造成很大的损失。从2月26号抓取的上报邮箱中的资料来看,扩展名还不限于此(攻击者持续更新
图片52.png
(82.31 K)
2016-3-3 14:33:40
代码中)。
图片53.png
(12.97 K)
2016-3-3 14:33:40
接着,下载并执行一个名为GetPass.ps1的PS脚本,如下图所示:
顾名思义,该脚本的目的,依然是收集密码。脚本执行后,下载两个文件,分别为Get
.exe
和Command
.bat
,然后执行Command.bat调用Get
.exe
,将获取的密码保存到用户目录下的
图片54.png
(43.89 K)
2016-3-3 14:33:40
D:\GetPass.txt中。
其中,Get.exe为跨平台密码检索利器
——
LaZagne,可以去项目主页
https://github.com/AlessandroZ/LaZagne
获取更多信息。LaZagne支持Windows和Linux平台下
多种类型软件保存的密码获取,功能可谓相当之强大,具体支持列表如下:
图片55.png
(76.32 K)
2016-3-3 14:33:40
瑞星工程师16 最后编辑于 2016-03-03 14:39:54
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
18739
贡献:
40
金钱:
0
状态:
离线
等级:
瑞星工程师16
在线技术支持工程师
帖子:
9362
注册:
2008-09-08
来自:
发表于: 2016-03-03 14:44
|
只看楼主
短消息
资料
字号:
小
中
大
3楼
回复: 阅读电子书,密码资料都被盗, 幽灵电子书来袭!
QQ截图20160303135125.png
(2.91 K)
2016-3-3 14:44:29
可以看出,攻击者意图收集包括数据库、浏览器、电子邮件、源代码管理、WI-FI等在内的5大类账户密码。下图为来自真实受害者的GetPass.txt文件,其中包含了Chrome浏览器保存密码的
图片56.png
(87.12 K)
2016-3-3 14:44:29
站点和相应用户名、密码,第一条便是淘宝的用户名和密码,由此可以看出,后果是相当严重的。
接下来,GetPass
.ps1
将GetPass
.txt
作为电子邮件附件,采用STMP协议发送至电子邮箱
xxxxxxxxxx
@email.ctbu.edu.cn
。
瑞星工程师16 最后编辑于 2016-03-03 14:45:55
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
18739
贡献:
40
金钱:
0
状态:
离线
等级:
瑞星工程师16
在线技术支持工程师
帖子:
9362
注册:
2008-09-08
来自:
发表于: 2016-03-03 15:01
|
只看楼主
短消息
资料
字号:
小
中
大
4楼
回复: 阅读电子书,密码资料都被盗, 幽灵电子书来袭!
QQ截图20160303135318.png
(74.16 K)
2016-3-3 15:01:47
该收件箱为某高校校园邮箱,登陆后跳转至QQ企业邮箱。
最后,GetPass.ps1清理痕迹,至此执行完毕。
start.ps1继续收集受害者计算机的各类基本信息。主要手法为通过调用WMI对象对系统的基本信息,硬件信息、用户信息、已安装的程序、用户文档以及网络信息进行收集,并将这些信息
图片57.png
(67.20 K)
2016-3-3 15:01:47
保存到一个名为ComputerInfo.html的 HTML文件中,代码如下:
瑞星工程师16 最后编辑于 2016-03-03 15:04:03
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
18739
贡献:
40
金钱:
0
状态:
离线
等级:
瑞星工程师16
在线技术支持工程师
帖子:
9362
注册:
2008-09-08
来自:
发表于: 2016-03-03 15:30
|
只看楼主
短消息
资料
字号:
小
中
大
5楼
回复: 阅读电子书,密码资料都被盗, 幽灵电子书来袭!
QQ截图20160303135723.png
(106.12 K)
2016-3-3 15:30:45
QQ截图20160303135733.png
(69.95 K)
2016-3-3 15:30:45
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
18739
贡献:
40
金钱:
0
状态:
离线
等级:
瑞星工程师16
在线技术支持工程师
帖子:
9362
注册:
2008-09-08
来自:
发表于: 2016-03-03 15:35
|
只看楼主
短消息
资料
字号:
小
中
大
6楼
回复: 阅读电子书,密码资料都被盗, 幽灵电子书来袭!
以下为一份来自真实受害者的ComputerInfo.html内容截图:
图片58.png
(102.06 K)
2016-3-3 15:36:04
在信息收集完毕后,该脚本会对当前计算机现实屏幕进行截屏。
从真实受害者上报的数据来看,该功能是无效的,因为截屏的图片全部为黑色。
然后再将之前产生的DumpPass.txt,收集的用户桌面上的文档文件、产生的计算机信息文
图片59.png
(80.29 K)
2016-3-3 15:36:04
件、屏幕截图等,打包成名为Report.zip的压缩包,并通过电子邮件发送至指定的邮箱。
使用代码中留下的账号和密码登录邮箱后,我们发现有一定数量的受害者发送的邮件(登录于2016/2/27,15:29),邮箱内的邮件一段时间之后会被删除,27号登录时,26号晚的邮件已经被
图片60.png
(109.55 K)
2016-3-3 15:36:04
彻底删除。
打开邮件并下载附件Report
.zip
,解压后可以看到以下文件和目录,这些文件和之前描述的脚本行为相吻合,例如,打开Doc目录后,可以看到收集自受害者桌面的几类文档,在25号抓取的
图片61.png
(32.85 K)
2016-3-3 15:36:04
图片62.png
(48.95 K)
2016-3-3 15:36:04
图片63.png
(130.59 K)
2016-3-3 15:36:04
多封邮件中,还不乏各类工作报告,甚至个人工资单。
最后,start.ps1清理痕迹,主要功能执行完毕。
通过分析可知,整个攻击中的核心功能,均为开源项目。攻击者编写了简单的整合脚本,将这些开源软件整合在一起,在云端部署了这些攻击代码,最终构建了这个攻击方案。
五、写在最后
首先希望攻击者尽快停止此次攻击,停止在社交圈内散播携带攻击代码的电子书,在云端移除相关的恶意软件,避免造成更大的危害。
攻击者选择了特定兴趣
/
行业的社交圈和相关主题的电子书进行搭配,这无疑是一个非常具有诱骗性的
“
钓鱼
”
手段,被攻击人群很容易被感染。分析此次事件时,攻击人群定位于网络安全从业人士,虽然有一定的网络安全基础,但仍然有一定被感染数量。如果换成其他行业,情况可能会更加糟糕。
另外,这次攻击事件中使用的恶意代码,全部来自于网络安全社区,制作成本非常低。整体方案和恶意代码实现,均来自于白帽子
HackPanda
公开的一篇《
BadUsb——
结合实例谈此类外设的风险》的文章中,可见安全社区为
“
脚本小子
”
们提供了大量的素材,大大降低了实施此类攻击的门槛。
再者,攻击者不仅收集了用户的账户和密码,还收集了大量的文档资料,这造成的危害,已经不是单纯的个人隐私数据的泄漏了,更可能涉及到受害者所在公司的商业信息的泄漏。
最后,对于潜在的受害者,还是希望能安装必要的安全防护软件,建立良好的信息安全意识。在全面信息化的今天,信息安全知识应当如同养生一般,多多少少都懂点才好。
瑞星工程师16 最后编辑于 2016-03-03 15:41:25
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
18739
贡献:
40
金钱:
0
状态:
离线
等级:
天月来了
版主
帖子:
76904
注册:
2007-02-06
来自:
发表于: 2016-03-04 08:18
|
短消息
资料
字号:
小
中
大
7楼
回复:阅读电子书,密码资料都被盗, 幽灵电子书来袭!
好人哟
好人
短消息
资料
加为好友
全部帖子
性别:
精华:
54
威望:
123135
贡献:
2775
金钱:
45.5
状态:
离线
等级:
饼饼2008
飘泊而立狮
帖子:
940
注册:
2008-12-26
来自:
湖北武汉
发表于: 2016-03-04 23:36
|
短消息
资料
字号:
小
中
大
8楼
回复:阅读电子书,密码资料都被盗, 幽灵电子书来袭!
原来一直以为这类字节数小的文件不会带毒……“start.ps1首先向106.80.36.165发起一个HTTP请求”,这个意思是先会联网下载脚本还是就指向了下载的chm文件中的一段脚本?
恋恋不舍相思意,为卿折翼坠红尘。
一场好梦匆匆醒,独怅斜阳卧青石。
往事如烟淡淡看,且留醉后忆缠绵。
转身轻抚衣衫去,相忘江湖两不知。
短消息
资料
加为好友
全部帖子
性别:
生日:
1988-9-5
精华:
3
威望:
1329
贡献:
404
金钱:
0
874574226
状态:
离线
等级:
<<
上一主题
|
下一主题
>>
1
1
/ 1 页
跳转
页
论坛跳转...
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
北方区
华东区
华南区
木马入侵拦截有奖体验专区
瑞星2009版查杀引擎测试
瑞星2009测试版问题反馈
瑞星杀毒软件2009公测
瑞星个人防火墙2009公测
瑞星全功能安全软件2009公测
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星安全联盟论坛
瑞星杀毒软件V16+
V16+新引擎测试专区
瑞星全功能安全软件
瑞星杀毒软件2011
瑞星个人防火墙V16
广告过滤
瑞星个人防火墙2011
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
瑞星手机安全助手
瑞星路由安全卫士
路由系统内核漏洞
APP保镖
瑞星安全浏览器
瑞星安全助手
卡卡上网安全助手
瑞星软件管家
瑞星加密盘
账号保险柜5.0
瑞星专业数据恢复
技术交流区
反病毒/反流氓软件论坛
菜鸟学堂
安全技术讨论
可疑文件交流
恶意网站交流
瑞星云安全网站联盟专版
每日网马播报
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
Rising茶馆
影音贴图
瑞星安全游戏
凡人修真
华人德州扑克
一球成名
星际世界
神仙道
赢家竞技
梦幻飞仙
三国演义
仙落凡尘
秦美人
攻城掠地
女神联盟
风云无双
傲视九重天
深渊
魅影传说
热血屠龙
雷霆之怒
大天使之剑
传奇霸业
无上神兵
斗破沙城
全民裁决
蛮荒之怒2
活动专区
瑞星积分商城
实习生专区
实习生交流区
实习生签到区
实习生考核区
“安全之狮”校园行活动专版
历史活动
论坛9周年活动专区
关注灾情 同心抗灾
本站站务区
站务
版主之家[限]
禁言禁访记录
待审核
瑞星客户俱乐部[限]
在高分屏电脑运行Photoshop CS6,程序界面字体过小的问题有解啦~~~by baohe
瑞星发布《等保2.0详解暨瑞星等保三级解决方案》
瑞星杀毒软件V17的个人介绍 by dg1vg4
卡卡论坛新手入门
年后勒索病毒活跃 瑞星提供全面分析与防范建议
360卫士、新毒霸破坏瑞星杀毒导致升级失败(升级提示XXXXXXX 800006)的解决办法
年后勒索病毒活跃 瑞星提供全面分析与防范建议
年后勒索病毒活跃 瑞星提供全面分析与防范建议
我的主题
我的帖子
我的精华
我的好友
文本模式