DNS隧道通信高度混淆钓鱼样本分析教学文档

1. 样本概述

伪装方式：样本伪装成简历及专利相关信息，针对公司HR进行钓鱼攻击
编译时间：2024年1月9日
伪装身份：显示为腾讯应用宝程序，使用腾讯应用宝程序的PDB信息
感染方式：修改了正常腾讯应用宝程序，植入恶意代码

2. 样本技术分析

2.1 入口点分析

样本入口点为WinMain函数
与正常腾讯应用宝程序对比未发现明显异常
实际恶意代码隐藏在scrt_common_main_seh函数中
scrt_initialize_crt函数代码被替换为恶意代码

2.2 ShellCode执行流程

动态调试：执行到ShellCode代码处
资源操作：
- 修改程序资源数据属性
- 在资源中增加了加密数据
- ShellCode解密资源中的恶意代码
- 设置解密后的资源数据属性
代码混淆：
- 解密后的代码包含大量混淆和字符串加密
- 设置程序相关字节区段的属性
- 解密出相关字符串信息

2.3 反分析技术

进程检测：
- 遍历系统进程
- 检查是否存在安全分析工具进程
- 检测到分析工具则直接结束进程
字符串处理：
- 使用加密字符串
- 运行时动态解密
- 解密函数专门实现

2.4 功能实现

环境检测：
- 获取%ProgramFiles%和USERNAME环境变量
API加载：
- 动态加载相关DLL
- 获取所需函数地址
迷惑行为：
- 在C:\Users\Public目录下生成同名docx文档
- 打开该文档迷惑受害者

2.5 通信技术

DNS隧道通信：
- 最终解密出C2服务器域名
- 域名在威胁情报平台上可查询到相关记录
HTTP通信：
- 发送HTTP请求与服务器建立连接
- 实现C2通信

3. 威胁评估

攻击者身份：疑似红队攻击样本
技术特点：
- 高度混淆的代码
- 反分析技术全面
- 使用DNS隧道隐蔽通信
攻击目标：企业HR部门

4. 防御建议

检测方面：
- 监控程序资源段异常修改
- 检测DNS隧道通信行为
- 关注异常进程遍历行为
防护方面：
- 对HR部门加强安全意识培训
- 部署高级威胁检测系统
- 限制非必要DNS查询
响应方面：
- 建立样本分析流程
- 收集威胁情报信息
- 更新检测规则

5. 技术总结

该样本展示了高级钓鱼攻击的典型特征：

合法程序被篡改作为载体
多层代码混淆和加密
全面的反分析技术
隐蔽的通信渠道
社会工程学伪装

安全研究人员需要持续关注此类技术的演进，提升分析和检测能力。

DNS隧道通信高度混淆钓鱼样本分析教学文档 1. 样本概述伪装方式：样本伪装成简历及专利相关信息，针对公司HR进行钓鱼攻击编译时间：2024年1月9日伪装身份：显示为腾讯应用宝程序，使用腾讯应用宝程序的PDB信息感染方式：修改了正常腾讯应用宝程序，植入恶意代码 2. 样本技术分析 2.1 入口点分析样本入口点为WinMain函数与正常腾讯应用宝程序对比未发现明显异常实际恶意代码隐藏在 scrt_common_main_seh 函数中 scrt_initialize_crt 函数代码被替换为恶意代码 2.2 ShellCode执行流程动态调试：执行到ShellCode代码处资源操作：修改程序资源数据属性在资源中增加了加密数据 ShellCode解密资源中的恶意代码设置解密后的资源数据属性代码混淆：解密后的代码包含大量混淆和字符串加密设置程序相关字节区段的属性解密出相关字符串信息 2.3 反分析技术进程检测：遍历系统进程检查是否存在安全分析工具进程检测到分析工具则直接结束进程字符串处理：使用加密字符串运行时动态解密解密函数专门实现 2.4 功能实现环境检测：获取 %ProgramFiles% 和 USERNAME 环境变量 API加载：动态加载相关DLL 获取所需函数地址迷惑行为：在 C:\Users\Public 目录下生成同名docx文档打开该文档迷惑受害者 2.5 通信技术 DNS隧道通信：最终解密出C2服务器域名域名在威胁情报平台上可查询到相关记录 HTTP通信：发送HTTP请求与服务器建立连接实现C2通信 3. 威胁评估攻击者身份：疑似红队攻击样本技术特点：高度混淆的代码反分析技术全面使用DNS隧道隐蔽通信攻击目标：企业HR部门 4. 防御建议检测方面：监控程序资源段异常修改检测DNS隧道通信行为关注异常进程遍历行为防护方面：对HR部门加强安全意识培训部署高级威胁检测系统限制非必要DNS查询响应方面：建立样本分析流程收集威胁情报信息更新检测规则 5. 技术总结该样本展示了高级钓鱼攻击的典型特征：合法程序被篡改作为载体多层代码混淆和加密全面的反分析技术隐蔽的通信渠道社会工程学伪装安全研究人员需要持续关注此类技术的演进，提升分析和检测能力。