九游老哥

九游老哥

九游老哥科技

  • 基础设施清静

    基础设施清静

  • 数据清静

    数据清静

  • 云盘算清静

    云盘算清静

  • AI清静

    AI清静

  • 工业互联网清静

    工业互联网清静

  • 物联网清静

    物联网清静

  • 信息手艺应用立异

    信息手艺应用立异

  • 所有产品

    所有产品

  • 所有解决计划

    所有解决计划

基础设施清静

  • 政府

    政府

  • 运营商

    运营商

  • 金融

    金融

  • 能源

    能源

  • 交通

    交通

  • 企业

    企业

  • 科教文卫

    科教文卫

  • 九游老哥云 九游老哥云
  • 九游老哥威胁情报中心NTI 九游老哥威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京九游老哥公益基金会 北京九游老哥公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

相助同伴审查更多 >

相助同伴动态

成为相助同伴

  • 九游老哥云 九游老哥云
  • 九游老哥威胁情报中心NTI 九游老哥威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京九游老哥公益基金会 北京九游老哥公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

手艺支持审查更多 >

产品支持

  • 九游老哥云 九游老哥云
  • 九游老哥威胁情报中心NTI 九游老哥威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京九游老哥公益基金会 北京九游老哥公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

返回列表

留神,你收到的疫情相关邮件可能是病毒攻击

2020-02-21

小心!黑客已将疫情信息融入到互联网黑产攻击链和工业链,对疫情信息关注者发动攻击。

自新型冠状病毒熏染的肺炎疫情爆发以来,九游老哥科技高度关注不法分子使用疫情话题提倡的黑客攻击。通过对近期网络威胁行为的跟踪与剖析,九游老哥科技伏影实验室发明在经由一段时间的试探历程后,黑客已将新型冠状病毒肺炎疫情信息融入到互联网黑产攻击链和工业链当中,对疫情信息关注者发动攻击。

行骗套路一:鱼叉邮件

鱼叉邮件是黑客攻击历程中社会工程学的主要体现,因此攻击者通常会凭证时势新闻更新鱼叉邮件的诱饵信息内容。此次新冠肺炎疫情显然给攻击者提供了借题施展的平台。九游老哥科技发明,近期已有主流恶意邮件撒播的木马家族在诱饵内容中加入了疫情相关信息,借此增添邮件诱饵的可信度。

案例一

假借疫情放假信息,FormBook木马发动鱼叉邮件攻击

九游老哥科技近期捕获了FormBook木马使用肺炎疫情提倡的攻击事务。该起攻击事务中,攻击者将疫情信息融入鱼叉邮件诱饵中,设计了诱骗度极高的社工内容,借此攻击罗马尼亚的无邪车制造商。

该诱饵邮件内容如下:

九游老哥·(中国)俱乐部官方网站

在全心结构的社工邮件内容中,攻击者伪装为企业员工,鞭策邮件吸收者尽快检查附件内容并回复。为提高可信度,邮件中声称该由于受新冠肺炎疫情影响,该公司将放假延伸到2月9日,并延期至2月10日复工(Because of the infflience of coronavirus, our holiday has been extended to 9th Feb, we will return to work fully on the 10th Feb)。从邮件内容来看,攻击者对疫情时势较为相识,可能是有组织的黑客整体。

附件文件REQUEST1.iso

该邮件的恶意载荷包括两层伪装。光盘镜像文件REQUEST1.iso中包括一个屏幕掩护文件co2.scr,现实为恶意的PE可执行文件:

九游老哥·(中国)俱乐部官方网站

混淆外壳co2.scr

co2.scr是.net外壳程序,混淆了函数名、函数内容以及代码逻辑,用来滋扰杀毒引擎和剖析软件的剖析:

九游老哥·(中国)俱乐部官方网站

对该程序脱壳后,可以获取第二层载荷PLxHldNnIKOb.exe

加载器PLxHldNnIKOb.exe

PLxHldNnIKOb.exe是Dropper程序,将自身资源段中携带的二进制文件解密并使用指定方法加载运行。凭证设置的差别,该程序支持以下恶意行为:

九游老哥·(中国)俱乐部官方网站

该程序使用隔位异或的方法解密资源段内容,解密键为OOmmuoPtHAHiIjANYoKqZhYfb:

九游老哥·(中国)俱乐部官方网站

凭证设置,PLxHldNnIKOb.exe程序运行后会将最终载荷hRNfZekS加载至内存执行。

最终载荷hRNfZekS

Dropper文件释放运行的最终载荷是新版本的FormBook木马程序,毗连C&C为www.4my.fans。FormBook是一款多功效木马,主要用于窃取用户主机信息或作为跳板下载执行其他恶意程序。

FormBook木马有高度对抗行为,会通过建设傀儡历程,反向注入等行为将注入行为重大化。受C&C指令控制,FormBook木马可以执行以下行为:

九游老哥·(中国)俱乐部官方网站

案例小结:FormBook是有较长历史的木马程序,被国际上多个黑客组织大宗使用。现在,搭载FormBook的鱼叉邮件已成为对邮件使用者的主要威胁种类之一。该起借助冠状病毒信息的鱼叉邮件攻击事务批注,黑客组织对攻击流程中载荷投递阶段的设计十分重视,更新速率快,诱饵质量高。邮件用户切不可因邮件内容的高可信度而麻木大意,应审慎看待邮件附件,不运行未知程序,将可疑文件交由清静职员处置惩罚。

案例二

Emotet木马来袭,黑客伪装成日本各县市的保健所宣布邮件

随着疫情的生长,同属于着名邮件木马的Emotet木马家族,近期也使用包括新冠肺炎疫情信息的邮件在日本举行撒播。这些针对日本的鱼叉邮件,发件者普遍伪装为日本各县市的保健所,邮件内容在强调新冠肺炎疫情的同时,要求收件者翻开附件中的“对策”或“通知”文件。

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站九游老哥·(中国)俱乐部官方网站

doc文档载荷

这些邮件附带的doc文档,显示社工内容诱骗用户运行内置的vba剧本,该vba剧本会运行powershell下令,装置Emotet木马程序。

九游老哥·(中国)俱乐部官方网站

Emotet木马

Emotet家族属于银行木马,泛起于2014年,主要以垃圾邮件形式撒播,熏染Windows主机后并偷取用户邮箱来获得主要小我私家财务信息。近年来,Emotet在多起事务中被发明最先用于撒播其他恶意家族,涉及银行木马、DDoS和勒索等。

Emotet撒播的其它部分恶意家族分类如下表所示:

九游老哥·(中国)俱乐部官方网站

有信息显示,Emotet木马主要受黑客组织Mealybug使用,从2014年最先维护Emotet代码并睁开多次攻击。该使用疫情信息撒播的邮件中搭载的Emotet木马是该家族的最新版本,标记为Emotet_Doc_Downloader_C,在doc类型恶意文件中很是多见:

九游老哥·(中国)俱乐部官方网站

案例小结:这起攻击事务批注,Emotet成为恶意邮件撒播的主要木马家族绝非无意。无论是攻击时间(最早泛起在1月尾)照旧诱饵质量(保健所名称和联系方法属实),Emotet都走在了恶意邮件家族的前线。通俗邮件用户在接触到外文类型的邮件时,应默认凭证恶意邮件来举行处置惩罚,万万不要一时好奇,被攻击者所使用。

行骗套路二、热门名称的恶意程序

除鱼叉邮件外,部分攻击者也会使用热门要害词作为文件名称,投递恶意程序举行攻击。部分恶意程序名称与主要功效见下表:

九游老哥·(中国)俱乐部官方网站

这些程序大多是数据扫除程序或远控木马,使用热门事务举行简朴的社会工程学加工,属于愿者中计型。

清静总结:通过正规渠道获取疫情相关信息,阻止因猎奇心理导致装备中招。

新型冠状病毒肺炎疫情的爆发,给黑客们提供了绝佳的社会工程学质料,小到小我私家大到组织,纷纷使用本次事务扩大武器的攻击面。

近期,许多寻常接触网络较少的用户最先在互联网渠道获守信息,这些群体缺乏对信息的基本判别能力,难以准确识别和阻截这些恶意软件。因此我们建议,一定要通过正规渠道获取疫情相关信息,阻止因猎奇心理导致装备中招。

九游老哥·(中国)俱乐部官方网站

 

 九游老哥·(中国)俱乐部官方网站
九游老哥科技伏影实验室专注于清静威胁研究与监测手艺,包括但不限于威胁识别手艺,威胁跟踪手艺,威胁捕获手艺,威胁主体识别手艺。研究目的包括:僵尸网络威胁,DDOS对抗,WEB对抗,盛行服务系统懦弱使用威胁、身份认证威胁,数字资产威胁,玄色工业威胁 及 新兴威胁。通过掌控现网威胁来识别危害,缓解威胁危险,为威胁对抗提供决议支持。

?

您的联系方法

*姓名
*单位名称
*联系方法
*验证码 九游老哥·(中国)俱乐部官方网站
提交到邮箱

购置热线

  • 购置咨询:

    400-818-6868-1

提交项目需求

接待加入九游老哥科技,成为我们的相助同伴!
  • *请形貌您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方法
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *都会
  • *行业
  • *验证码 九游老哥·(中国)俱乐部官方网站
  • 提交到邮箱
九游老哥·(中国)俱乐部官方网站
九游老哥·(中国)俱乐部官方网站

服务支持

智能客服
智能客服
购置/售后手艺问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
九游老哥科技社区
九游老哥科技社区
资料下载|在线问答|手艺交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

网站地图