其他
冒充安恒信息对看雪论坛的一次定向钓鱼攻击
The following article is from 安全分析与研究 Author pandazhengzheng
今天我们连续收到两封假冒安恒信息的钓鱼邮件,针对此次事件,看雪会员pandazhengzheng进行了详细分析,借此转载把他的观点分享给大家。
一共给发了两封邮件,包含同一个恶意链接,如下所示:
运行hta脚本之后,调用执行内嵌的PowerShell脚本,如下所示:
解密出PowerShell脚本,如下所示:
此PowerShell脚本与远程服务器进行通讯,获取返回数据,捕获到的流量信息,如下所示:
解密获取的PowerShell脚本获取主机相关信息,与远程服务器通信,解密出来的PowerShell脚本代码,如下所示:
再次解密获取到的PowerShell脚本,如下所示:
该脚本会设置默认的返回数据信息包,如下所示:
解密出来的返回数据包信息,如下所示:
与我们上面捕获到的数据流量包一致,PowerShell脚本通过远程服务器返回相应的操作指令,如下所示:
CMD远程控制指令过程,如下所示:
通过CMD指令可以远程获取主机文件,进程等信息,下载,上传文件等操作,监控网络流量数据,如下所示:
这次钓鱼定向攻击,钓鱼攻击者冒充的发件人邮件信息:wu.jinyan@dbappsecurtiy.com
很明显冒充了安恒的邮箱,安恒的邮箱地址后缀是dbappsecurity.com
* 本文经授权转载自微信公众号 安全分析与研究 冒充安恒信息对看雪论坛的一次定向钓鱼攻击
推荐文章++++
* Microsoft承认Windows由于永久性内存而导致启动缓慢
* 黑客利用Windows BlueKeep挖矿,RDP攻击再次来袭
﹀
﹀﹀
官方微博:看雪安全商务合作:wsc@kanxue.com