九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

NetWire木马控制者最先投放nCoV-19疫情诱饵文档

2020-03-18

伏影实验室发明，最早2012年泛起的远控木马 NetWire，近期在其文档中加入了nCoV-19疫情相关的社工内容。

随着新冠肺炎病毒（nCoV-19）在天下规模内的撒播，多个国际黑客组织最先注重到疫情话题在社会工程学方面的易用性，将疫情相关的信息融入到攻击历程当中。

九游老哥科技伏影实验室早前宣布的信息（http://blog.nsfocus.net/watch-out-for-hackers-attacked-by-new-crown-virus-pneumonia/）显示，已有Emotet、FormBook等着名木马在攻击中使用了疫情信息作为诱饵。

近期，伏影实验室发明，NetWire远控木马控制者也最先使用nCoV-19疫情相关的诱饵文档来投放木马。

NetWire，又称NetWireRC或Recam，是一款最早泛起在2012年的远控木马，曾被尼日利亚的黑客用于攻击企业目的。多年以来，NetWire一直在更新版本，并演化出多条差别的攻击链。2019年起，NetWire进入新一轮的爆发期，借助由鱼叉邮件和网盘组建的扩散网络广为撒播。

事务简述

伏影实验室近期捕获的部分NetWire文档样本中加入了nCoV-19疫情的社工内容。

当受害者翻开恶意邮件中的附件文档时，将会看到如下所示的内容：

九游老哥·(中国)俱乐部官方网站

文档中图片显示了nCoV-19病毒的全球撒播统计，并且有地区上的过失。

该文档现实包括cve-2017-11882公式编辑器误差，会下载并执行恶意程序，最终使NetWire木马在受害者主机上运行。

该NetWire的大致攻击流程如下：

九游老哥·(中国)俱乐部官方网站

误差rtf文档运行后，通过短链接获取到二阶段载荷的地点并下载运行，二阶段载荷将解密后的字符串和shellcode注入到windows程序ieinstal.exe中运行，shellcode会见GoogleDrive并将NetWire下载到内存中执行。该NetWire变种最终毗连cnc服务器79.137.*.103。

事务剖析

rtf文档

该诱饵文档包括高度混淆的rtf编码，会触发cve-2017-11882误差：

九游老哥·(中国)俱乐部官方网站

误差触发后，程序跳转至shellcode运行。shellcode使用常见的GlobalLock思绪寻找Ole流工具位置，随后跳转至工具中的第二段shellcode运行。第二段shellcode亦经由高度混淆。

该误差文档的恶意shellcode最终下载短链接bit.ly/2T*xW（目今被剖析至hxxp://www.asim*.com/new/Notepad.txt）中的内容并执行，同时在word中显示文档中附带的jpeg名堂疫情地图。

Notepad.txt

恶意rtf下载运行的二阶段载荷Notepad.txt是vb程序，主要功效为启动和注入windows程序ieinstal.exe，注入内容为shellcode息争密后的字符串设置项等。

被注入的isinstal.exe运行后，会建设指定目录USER\\Bagtaler4\\，将恶意程序本体转移至目录下并命名为Samipat8.exe，之后建设注册表启动项实现长期化：

九游老哥·(中国)俱乐部官方网站

随后程序会见硬编码地点hxxps://drive.google.com/uc?export=download&id=1kFK*Jz90下载解密并执行最终阶段载荷NetWire远控木马。

解密历程中使用了以下函数：

九游老哥·(中国)俱乐部官方网站

解密逻辑为长键值异或，使用的异或键由shellcode提供。本例中用到的解密键长度为0x24A，由长为0x100的键循环天生，值为：

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

NetWire

被注入的ieinstal程序最终在内存中加载了NetWire木马。

木马程序毗连C&C地点为79.137.*.103:39561,通讯遵照以下名堂:

0x00~0x03	0x04	0x05~
length	cmdbyte	data

data部分使用aes加密，加密的key与IV在木马初始化时随机天生，并在首次通讯时上传给C&C：

九游老哥·(中国)俱乐部官方网站

图中蓝色部分为协议头部，红色部分为32字节key，黄色部分为16字节IV，绿色部分为加密例文，对应的明文硬编码在木马文件中。

C&C收到木马提供的加密键后，使用此键加密data段内容，与木马一连通讯：

九游老哥·(中国)俱乐部官方网站

本例中使用的NetWire木马是功效较全的变种，共支持57种差别的指令，可举行包括文件操作、历程操作、窗口操作、注册表操作、反弹shell、流量转发、模拟输入、用户凭证窃取等行为。详细功效见指令表：

0x97	获取受控端前台窗口名称和待机时间,作为心跳指令
0x9B	获取受控端系统信息，包括用户名、盘算机名、OS版本
0x9C	运行TEMP路径下指定程序
0x9D	执行指定命令行
0x9F	程序退出（关闭cc通讯、释放互斥体、中止历程）
0xA0	关闭cc通讯并待机
0xA1	注册表整理、程序退出
0xA2	注册表NetWire控制项更新
0xA3	下载指定url的程序至TEMP路径并运行
0xA4	获取磁盘信息
0xA6	获取指定目录下的文件时间信息
0xA8	获取指定目录下的文件属性和尺寸信息
0xAA	中止目录遍历线程
0xAB	获取指定文件的内容
0xAC	向已标记的文件写入内容
0xAD	关闭已标记文件
0xAE	复制文件
0xAF	主线程中执行指定命令行
0xB0	移动文件
0xB1	删除文件
0xB2	建设文件夹
0xB3	删除文件或文件夹
0xB4	获取指定目录下的文件名和属性信息
0xB5	关闭已标记文件
0xB6	反弹shell
0xB7	写入反弹shell
0xB8	关闭反弹shell
0xBA	获取受控端系统详细信息，包括处置惩罚器、内存、令牌等
0xBC	获取所有登录会话的信息
0xBE	获取历程列表和信息
0xC0	竣事指定历程
0xC1	获取窗口列表
0xC2	窗口操作，由指令码指定 1关闭窗口 2隐藏窗口 3显示窗口 4设置窗口问题
0xC3	下载指定url的程序至指定目录并运行
0xC5	模拟按键弹起
0xC6	模拟按键按下
0xC7	鼠标按键抬起
0xC8	设置鼠标位置，鼠标按键按下
0xC9	获取目今屏幕截图
0xCC	获取木马运行日志文件信息
0xCE	获取木马运行日志路径属性
0xCF	删除指定木马运行日志
0xD0	获取指定木马运行日志
0xD3	获取指定浏览器中登录信息
0xD4	获取指定浏览器中登录信息
0xD5	获取pidgin账户文件
0xD6	获取pidgin账户文件
0xD7	获取Outlook默认设置文件
0xD8	获取Outlook默认设置文件
0xD9	向指定地点做流量转发
0xDF	获取指定目录下的文件名和属性信息
0xE2	阻止目录遍历
0xE3	压缩指定目录
0xE4	获取受控端主机网络信息
0xE5	获取指定注册表键遍历信息
0xE7	注册表操作，包括建设、赋值、删除等
0xE8	获取受控端系统信息

事务影响

关联数据显示，此次事务中的域名www.asim*.com在2019年10月就最先下发NetWire木马，而事务中的网盘链接自2月26日被发明以来已经运行了凌驾两周。别的，我们通过数据发明，自今年以来NetWire已经下发了25个差别的网盘链接，其中早在1月9日的链接至今仍可会见。以上信息证实了NetWire攻击的长效性。

本次nCoV-19疫情诱饵的撒播批注NetWire及其背后的整体进入了新的活跃期，长效的攻击链使得邮件用户将有相当长的时间笼罩在NetWire的攻击之下。

<<上一篇

防护计划来了！Windows SMBv3远程代码执行误差 (CVE-2020-0796)

>>下一篇

「误差通告」VMware权限提升误差（CVE-2020-3950）

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号