伪装成京东金融候选人登记表的钓鱼样本详细分析
字数 1403 2025-08-24 07:48:34

伪装成京东金融候选人登记表的钓鱼样本分析教学文档

1. 样本概述

  • 伪装形式:样本伪装成"京东金融候选人登记表"
  • 攻击类型:Cobalt Strike (CS) 钓鱼攻击
  • 特点:自动化沙箱未能检测出C2配置信息,采用白+黑技术加载恶意模块

2. 样本初始行为分析

2.1 样本解压后内容

  • 包含LNK快捷方式文件
  • 使用白+黑技术加载恶意模块

2.2 LNK文件命令行参数

  • 包含精心构造的命令行参数用于执行恶意代码
  • 参数设计用于规避简单检测

3. 恶意行为详细分析

3.1 系统信息收集

恶意模块会检测以下系统信息:

  • 用户名
  • 主机名
  • 磁盘空间信息
  • 桌面背景图片信息

3.2 欺骗文档生成

  1. 生成位置:%temp%目录下
  2. 命名规则:随机字符 + 固定字符拼接
  3. 文档内容
    • 解码硬编码在程序中的数据
    • 写入文档生成看似合法的候选人登记表
  4. 打开方式:通过cmd命令行打开欺骗文档

3.3 加密数据解密过程

3.3.1 第一层解密

  1. 加密数据:程序中硬编码的加密数据
  2. 解密算法:自定义解密算法
  3. 解密结果:得到ShellCode代码

3.3.2 ShellCode执行

  1. 内存分配:分配内存空间存放ShellCode
  2. 代码执行:跳转到ShellCode执行
  3. 功能:解密后续加密数据

3.3.3 第二层解密

  1. 解密对象:ShellCode解密后续加密数据
  2. 解密结果:得到CS反射加载型木马(beacon.x64.dll)

4. C2基础设施分析

4.1 C2域名

  • 域名:www.0xqtt57e.sched.vip-dk.tdnsvod1.cn
  • 特点:使用多层子域名,可能用于规避检测

4.2 C2配置信息

  • 需要手动解析CS模块的配置信息
  • 包含完整的C2通信参数

5. 技术亮点总结

  1. 规避技术

    • 自动化沙箱无法检测C2配置
    • 使用多层加密和ShellCode技术

  2. 社会工程学

    • 伪装成招聘相关文档,针对求职者
    • 生成看似合法的文档内容

  3. 加载技术

    • 白+黑技术加载恶意模块
    • 反射式DLL注入

  4. 信息收集

    • 全面的系统环境检测
    • 包括非传统信息如桌面背景

6. 防御建议

  1. 用户教育

    • 警惕不明来源的招聘相关文档
    • 特别关注临时目录生成的可疑文档

  2. 技术防护

    • 监控%temp%目录下的文档生成行为
    • 检测异常cmd启动文档的行为
    • 关注多层子域名的外联请求

  3. 分析建议

    • 对可疑样本进行手动C2配置解析
    • 关注样本的系统信息收集行为

7. 威胁情报

  • 攻击组织:未明确归属,但技术手法专业
  • 攻击目标:可能针对金融行业求职者
  • 攻击时效:样本出现在2024年9月左右

8. 分析工具建议

  1. 静态分析

    • IDA Pro
    • Ghidra
    • PEiD

  2. 动态分析

    • Process Monitor
    • Wireshark
    • API Monitor

  3. 内存分析

    • Volatility
    • Rekall

  4. C2解析

    • CS解析脚本
    • 自定义解密工具

9. 扩展研究方向

  1. 白+黑技术的最新变种
  2. CS样本的多层加密技术演进
  3. 针对招聘流程的钓鱼攻击趋势
  4. 自动化沙箱规避技术发展

10. 总结

该样本展示了高级钓鱼攻击的典型特征:

  • 精心设计的伪装
  • 多阶段加密加载
  • 全面的环境检测
  • 专业的沙箱规避
  • 隐蔽的C2通信

分析此类样本需要结合静态和动态分析方法,特别关注样本的解密过程和异常行为模式。防御方面需要多层防护,从终端检测到网络监控相结合。

伪装成京东金融候选人登记表的钓鱼样本分析教学文档 1. 样本概述 伪装形式 :样本伪装成"京东金融候选人登记表" 攻击类型 :Cobalt Strike (CS) 钓鱼攻击 特点 :自动化沙箱未能检测出C2配置信息,采用白+黑技术加载恶意模块 2. 样本初始行为分析 2.1 样本解压后内容 包含LNK快捷方式文件 使用白+黑技术加载恶意模块 2.2 LNK文件命令行参数 包含精心构造的命令行参数用于执行恶意代码 参数设计用于规避简单检测 3. 恶意行为详细分析 3.1 系统信息收集 恶意模块会检测以下系统信息: 用户名 主机名 磁盘空间信息 桌面背景图片信息 3.2 欺骗文档生成 生成位置 :%temp%目录下 命名规则 :随机字符 + 固定字符拼接 文档内容 : 解码硬编码在程序中的数据 写入文档生成看似合法的候选人登记表 打开方式 :通过cmd命令行打开欺骗文档 3.3 加密数据解密过程 3.3.1 第一层解密 加密数据 :程序中硬编码的加密数据 解密算法 :自定义解密算法 解密结果 :得到ShellCode代码 3.3.2 ShellCode执行 内存分配 :分配内存空间存放ShellCode 代码执行 :跳转到ShellCode执行 功能 :解密后续加密数据 3.3.3 第二层解密 解密对象 :ShellCode解密后续加密数据 解密结果 :得到CS反射加载型木马(beacon.x64.dll) 4. C2基础设施分析 4.1 C2域名 域名 :www.0xqtt57e.sched.vip-dk.tdnsvod1.cn 特点 :使用多层子域名,可能用于规避检测 4.2 C2配置信息 需要手动解析CS模块的配置信息 包含完整的C2通信参数 5. 技术亮点总结 规避技术 : 自动化沙箱无法检测C2配置 使用多层加密和ShellCode技术 社会工程学 : 伪装成招聘相关文档,针对求职者 生成看似合法的文档内容 加载技术 : 白+黑技术加载恶意模块 反射式DLL注入 信息收集 : 全面的系统环境检测 包括非传统信息如桌面背景 6. 防御建议 用户教育 : 警惕不明来源的招聘相关文档 特别关注临时目录生成的可疑文档 技术防护 : 监控%temp%目录下的文档生成行为 检测异常cmd启动文档的行为 关注多层子域名的外联请求 分析建议 : 对可疑样本进行手动C2配置解析 关注样本的系统信息收集行为 7. 威胁情报 攻击组织 :未明确归属,但技术手法专业 攻击目标 :可能针对金融行业求职者 攻击时效 :样本出现在2024年9月左右 8. 分析工具建议 静态分析 : IDA Pro Ghidra PEiD 动态分析 : Process Monitor Wireshark API Monitor 内存分析 : Volatility Rekall C2解析 : CS解析脚本 自定义解密工具 9. 扩展研究方向 白+黑技术的最新变种 CS样本的多层加密技术演进 针对招聘流程的钓鱼攻击趋势 自动化沙箱规避技术发展 10. 总结 该样本展示了高级钓鱼攻击的典型特征: 精心设计的伪装 多阶段加密加载 全面的环境检测 专业的沙箱规避 隐蔽的C2通信 分析此类样本需要结合静态和动态分析方法,特别关注样本的解密过程和异常行为模式。防御方面需要多层防护,从终端检测到网络监控相结合。