主页 > 网络知识 > 冒充安恒信息对看雪论坛的一次定向钓鱼攻击

冒充安恒信息对看雪论坛的一次定向钓鱼攻击

钓鱼攻击是网络犯罪团伙常用的一种手段,很多勒索病毒都曾使用邮件钓鱼的方式欺骗受害者打开相应的附件,运行恶意样本,导致受害者被勒索加密,钓鱼邮件攻击也是APT攻击的常用手段之一,如果收到陌生的邮件,千万不要随便点击附件链接或打开邮件附件中的文件。

中午吃饭看到群里有人发贴子,好像是看雪被钓鱼,看雪论坛应该是很多安全从业者的启蒙论坛,我也是从看雪论坛走出来的,从上面学到了不少东西,认识了不少朋友,非常感谢看雪论坛,竟然被钓鱼攻击了,于是上去看了一下,钢哥在论坛也发了贴子,公布了邮件信息,从邮件信息上看钓鱼攻击者冒充了安恒信息公司的邮件,如下所示:

 

1.jpg

 

两封邮件附带的恶意链接都是一样的,如下:

 

2.png

 

 

error.hta是一个vbs脚本,内嵌powershell脚本,如下所示:

 

3.jpg

 

运行hta脚本之后,调用执行内嵌的powershell脚本,如下所示:

 

4.png

 

解密出powershell脚本,如下所示:

 

5.png

 

此Powershell脚本与远程服务器进行通讯,获取返回数据,捕获到的流量信息,如下所示:

 

6.png

 

解密获取的PowerShell脚本获取主机相关信息,与远程服务器通信,解密出来的PowerShell脚本代码,如下所示:

 

8.jpg

 

捕获到的网络流量数据,如下所示:

 

7.png

 

再次解密获取到的PowerShell脚本,如下所示:

 

14.jpg

 

该脚本会设置默认的返回数据信息包,如下所示:

 

9.png

 

解密出来的返回数据包信息,如下所示:

 

10.png

 

与我们上面捕获到的数据流量包一致,PowerShell脚本通过远程服务器返回相应的操作指令,如下所示:

 

11.png

 

CMD远程控制指令过程,如下所示:

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!