近期使用法国内政部车辆信息文件为诱饵的攻击事件分析
字数 2834 2025-08-29 08:29:59

法国内政部车辆信息文件诱饵攻击事件分析报告

1. 攻击概述

近期发现一起以法国内政部出具的车辆信息文件为诱饵的恶意攻击活动,攻击者利用网络钓鱼手段诱导受害者执行恶意批处理脚本,最终部署隐秘的远控木马实现对目标系统的长期控制。

2. 样本信息

文件名 SHA-256 Hash
CE-209-DZ.rar e784921ed2316b55e46d88df40833452ce1b6a9340f13f408c5383e9590561e2
Vehicule.pdf.lnk caecc8a151e9cd3f5e09cd11c35e03f376b949c7dee4d19f409a98835b5709ec
paris.bat 06d3b0cf749a63b5816295c170a9332879196a46541612637cd05d94172cabe6

3. 攻击链分析

3.1 LNK文件分析

  • 伪装成PDF文件的快捷方式
  • 主要功能:
    • 打开诱饵PDF文件
    • 运行恶意BAT文件(paris.bat)

3.2 BAT文件分析

  • 文件大小超过6MB,经过高度混淆处理

  • 混淆技术:

    • 使用大量无用变量(%...%)
    • 字符替换填充代码
    • 命令字符串由数百个预定义变量构建

  • 执行流程:

    1. 运行后删除自身
    2. 执行Powershell指令进行下一阶段攻击

  • Powershell功能:

    1. 读取paris.bat文件内容
    2. 查找以"YStKW"开头的行并提取内容
    3. 调用oSl函数将数据写入注册表
    4. 调用FXpA和jipi函数对提取内容进行解密处理
    5. 调用qLeR函数加载字节数组作为.NET程序集并调用其入口点

3.3 .NET文件解密

通过解密脚本解密出三个带有混淆的.NET文件:

Hash 文件名
6c7d7e73b19a8606dae359d9a37eadb3b0a197f15c4c80d8fe062e605825e03f As.exe
35a0cdb36f4d33b3f2e441712f42e23bc12c7208cdc34bd66408d3065dbba6fc PzoDJ
35a0cdb36f4d33b3f2e441712f42e23bc12c7208cdc34bd66408d3065dbba6fc Test.exe

3.4 PzoDJ分析

样本运行后会在内存中解密一段Powershell指令,功能与第一阶段类似:

  1. 获取数据
  2. 解密并解压缩数据
  3. 加载并执行解密后的程序集

关键区别:

  • 第一阶段从BAT文件中读取数据并写入注册表
  • 第二阶段直接从注册表中读取数据
  • 这种设计实现了持久化驻留机制

4. 核心功能分析

4.1 C9F5094B-ED60-4348-AEDE-F11FEAD625EB解密函数

  • 接收int类型整数
  • 根据该数计算偏移
  • 取内存数据
  • 进行异或解密

4.2 主要功能模块

  1. 环境变量存储

    • 读取解密后的Base64 PowerShell指令
    • 存入环境变量"onimaiuc"
    • 后续从环境变量加载恶意指令

  2. 命名管道通信

    • 使用命名管道"$nya-control"进行通信
    • 连接成功时:
      • 发送controlCode=8195
      • 发送当前进程ID
    • 连接失败时:
      • 删除注册表项
      • 退出程序

  3. 反检测机制

    • 禁用ETW日志:
      • 加载ntdll.dll
      • 获取EtwEventWrite地址
      • 修改内存保护权限为可写
      • 覆盖EtwEventWrite指令:
        • x86平台:写入C2 14,RET 14h
        • x64平台:写入C3,RET
      • 效果:使EtwEventWrite直接返回,绕过Windows日志检测

  4. 资源文件提取执行

    • 从资源文件提取可执行文件并执行

  5. XhKvtmsYkk.tmp解析执行

    • 使用AES CBC解密
    • 密钥和IV为Base64编码的固定值
    • GZip解压
    • 加载解密数据为.NET程序并执行

5. 加密技术分析

5.1 自定义对称加密算法

  • 结合异或操作和字节交换
  • 从数据中提取32位整数作为key
  • 将key拆分为4个字节
  • 从字节数组两端向中间遍历:
    • 交换字节
    • 进行异或操作
  • 奇数长度处理:
    • 中间字节单独与密钥第一个字节异或

5.2 魔改Base64编码

  • 对标准Base64进行修改以增加分析难度

5.3 AES-256-CBC加密

  • 使用AES-256-CBC进行加解密
  • 通过HMAC-SHA256校验数据完整性

解密出的C2地址:176.65.141.58:4782

6. 远控功能分析

6.1 基础功能

  • 键盘记录
  • 浏览器窃密(支持多种浏览器): 
    ['Opera Software\\Opera Stable\\Login Data', 'Opera Software\\Opera Stable\\Local State']
['Opera Software\\Opera GX Stable\\Login Data', 'Opera Software\\Opera GX Stable\\Local State']
['Microsoft\\Edge\\User Data\\Default\\Login Data', 'Microsoft\\Edge\\User Data\\Local State']
['Yandex\\YandexBrowser\\User Data\\Default\\Ya Passman Data', 'Yandex\\YandexBrowser\\User Data\\Local State']
['Mozilla\\Firefox\\Profiles', 'signons.sqlite', 'logins.json', 'moz_logins', 'hostname', 'encryptedUsername', 'encryptedPassword', 'logins', 'encryptedUsername', 'encryptedPassword', 'hostname']
['Host', 'Port'User', 'Pass']
['SOFTWARE\\\\Martin Prikryl\\\\WinSCP 2\\\\Sessions', 'HostName', '', 'UserName', '', 'Password', '', 'PublicKeyFile'PortNumber', '22', '[PRIVATE KEY LOCATION: "{0}"]']

6.2 注册表操作

  • 创建、删除、重命名注册表项

6.3 输入模拟

  • 模拟鼠标键盘操作

6.4 HVNC远控

  • 使用隐藏虚拟网络计算(HVNC)技术进行远程控制

6.5 摄像头控制

  • 启动摄像头
  • 捕获画面
  • 将录制内容回传至C2

6.6 网络功能

  • 设置反向代理
  • 根据指令执行关机、重启或待机

6.7 持久化机制

  • 管理开机自启动项:
    • 获取列表
    • 添加新项
    • 移除已存在项

解密出的相关字符串:

'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run', 
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce', 
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run', 
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce', 
'SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Run', 
'SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\RunOnce', 
'desktop.ini', 
'Getting Autostart Items failed: ', 
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run', 
'Could not add value', 
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce', 
'Could not add value', 
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run', 
'Could not add value', 
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce', 
'Could not add value', 
'.url', 
'[InternetShortcut]', 
'URL=file:///', 
'IconIndex=0', 
'IconFile=', 
'SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\RunOnce', 
'Could not add value', 
'SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Run', 
'Could not add value', 
'Adding Autostart Item failed: ', 
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run', 
'Could not remove value', 
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce', 
'Could not remove value', 
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run', 
'Could not remove value', 
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce', 
'Could not remove value', 
'File does not exist', 
'SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Run', 
'Could not remove value', 
'SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\RunOnce', 
'Could not remove value', 
'Removing Autostart Item failed: '

6.8 信息收集

  • 查询主机硬件配置:
    • CPU
    • RAM
    • GPU
  • 系统信息:
    • 用户名
    • 主机名
    • 域名
    • 磁盘名
    • 系统目录路径
  • 网络信息:
    • Mac地址
    • 局域网地址
    • 广域网地址
    • ASN
    • ISP
  • 安全信息:
    • 反病毒软件
    • 防火墙信息
  • 其他信息:
    • 时区
    • 所在国家

解密出的相关字符串:

'-Processor (CPU)', 
'Memory (RAM)', 
'{0} MB', 
'Video Card (GPU)', 
'Username', 
'PC Name', 
'Domain Name', 
'Host Name', 
'System Drive', 
'System Directory', 
'Uptime', 
'MAC Address', 
'LAN IP Address', 
'WAN IP Address', 
'ASN', 
'ISP', 
'Antivirus', 
'Firewall', 
'Time Zone', 
'Country'

6.9 其他功能

  • 文件下载及执行
  • 进程管理(启动/结束指定进程)
  • TCP连接管理(获取列表或关闭指定连接)
  • 浏览器控制(访问URL或发送HTTP请求)

7. 防御建议

7.1 针对远控木马的防御

  1. 提高安全意识

    • 不轻易点击不明链接或下载附件
    • 仔细检查邮件来源和内容

  2. 技术防护措施

    • 使用专业安全软件进行防护
    • 启用双因素认证
    • 定期验证链接和附件的安全性

  3. 系统加固

    • 禁用不必要的脚本执行
    • 限制PowerShell使用权限
    • 监控注册表关键位置变更

  4. 应急响应

    • 及时报告可疑邮件
    • 定期备份重要数据
    • 建立安全事件响应流程

7.2 针对钓鱼邮件的防御

  1. 邮件过滤

    • 部署高级邮件安全网关
    • 启用附件沙箱分析
    • 实施发件人策略框架(SPF)、域密钥识别邮件(DKIM)和基于域的消息认证(DMARC)

  2. 用户培训

    • 定期开展安全意识培训
    • 进行钓鱼模拟演练
    • 建立可疑邮件报告机制

  3. 技术控制

    • 禁用Office宏
    • 限制LNK文件执行
    • 监控异常进程行为

8. 总结

本次攻击事件展示了高级持续性威胁(APT)的典型特征:

  1. 使用社会工程学诱饵(法国内政部文件)
  2. 多阶段攻击链设计(LNK→BAT→PowerShell→.NET)
  3. 复杂的混淆和加密技术
  4. 全面的远控功能
  5. 隐蔽的持久化机制

防御此类攻击需要技术防护与人员意识相结合,建立多层防御体系,才能有效降低风险。

法国内政部车辆信息文件诱饵攻击事件分析报告 1. 攻击概述 近期发现一起以法国内政部出具的车辆信息文件为诱饵的恶意攻击活动,攻击者利用网络钓鱼手段诱导受害者执行恶意批处理脚本,最终部署隐秘的远控木马实现对目标系统的长期控制。 2. 样本信息 | 文件名 | SHA-256 Hash | |--------|--------------| | CE-209-DZ.rar | e784921ed2316b55e46d88df40833452ce1b6a9340f13f408c5383e9590561e2 | | Vehicule.pdf.lnk | caecc8a151e9cd3f5e09cd11c35e03f376b949c7dee4d19f409a98835b5709ec | | paris.bat | 06d3b0cf749a63b5816295c170a9332879196a46541612637cd05d94172cabe6 | 3. 攻击链分析 3.1 LNK文件分析 伪装成PDF文件的快捷方式 主要功能: 打开诱饵PDF文件 运行恶意BAT文件(paris.bat) 3.2 BAT文件分析 文件大小超过6MB,经过高度混淆处理 混淆技术: 使用大量无用变量(%...%) 字符替换填充代码 命令字符串由数百个预定义变量构建 执行流程: 运行后删除自身 执行Powershell指令进行下一阶段攻击 Powershell功能: 读取paris.bat文件内容 查找以"YStKW"开头的行并提取内容 调用oSl函数将数据写入注册表 调用FXpA和jipi函数对提取内容进行解密处理 调用qLeR函数加载字节数组作为.NET程序集并调用其入口点 3.3 .NET文件解密 通过解密脚本解密出三个带有混淆的.NET文件: | Hash | 文件名 | |------|--------| | 6c7d7e73b19a8606dae359d9a37eadb3b0a197f15c4c80d8fe062e605825e03f | As.exe | | 35a0cdb36f4d33b3f2e441712f42e23bc12c7208cdc34bd66408d3065dbba6fc | PzoDJ | | 35a0cdb36f4d33b3f2e441712f42e23bc12c7208cdc34bd66408d3065dbba6fc | Test.exe | 3.4 PzoDJ分析 样本运行后会在内存中解密一段Powershell指令,功能与第一阶段类似: 获取数据 解密并解压缩数据 加载并执行解密后的程序集 关键区别: 第一阶段从BAT文件中读取数据并写入注册表 第二阶段直接从注册表中读取数据 这种设计实现了持久化驻留机制 4. 核心功能分析 4.1 C9F5094B-ED60-4348-AEDE-F11FEAD625EB解密函数 接收int类型整数 根据该数计算偏移 取内存数据 进行异或解密 4.2 主要功能模块 环境变量存储 读取解密后的Base64 PowerShell指令 存入环境变量"onimaiuc" 后续从环境变量加载恶意指令 命名管道通信 使用命名管道"$nya-control"进行通信 连接成功时: 发送controlCode=8195 发送当前进程ID 连接失败时: 删除注册表项 退出程序 反检测机制 禁用ETW日志: 加载ntdll.dll 获取EtwEventWrite地址 修改内存保护权限为可写 覆盖EtwEventWrite指令: x86平台:写入C2 14,RET 14h x64平台:写入C3,RET 效果:使EtwEventWrite直接返回,绕过Windows日志检测 资源文件提取执行 从资源文件提取可执行文件并执行 XhKvtmsYkk.tmp解析执行 使用AES CBC解密 密钥和IV为Base64编码的固定值 GZip解压 加载解密数据为.NET程序并执行 5. 加密技术分析 5.1 自定义对称加密算法 结合异或操作和字节交换 从数据中提取32位整数作为key 将key拆分为4个字节 从字节数组两端向中间遍历: 交换字节 进行异或操作 奇数长度处理: 中间字节单独与密钥第一个字节异或 5.2 魔改Base64编码 对标准Base64进行修改以增加分析难度 5.3 AES-256-CBC加密 使用AES-256-CBC进行加解密 通过HMAC-SHA256校验数据完整性 解密出的C2地址:176.65.141.58:4782 6. 远控功能分析 6.1 基础功能 键盘记录 浏览器窃密(支持多种浏览器): 6.2 注册表操作 创建、删除、重命名注册表项 6.3 输入模拟 模拟鼠标键盘操作 6.4 HVNC远控 使用隐藏虚拟网络计算(HVNC)技术进行远程控制 6.5 摄像头控制 启动摄像头 捕获画面 将录制内容回传至C2 6.6 网络功能 设置反向代理 根据指令执行关机、重启或待机 6.7 持久化机制 管理开机自启动项: 获取列表 添加新项 移除已存在项 解密出的相关字符串: 6.8 信息收集 查询主机硬件配置: CPU RAM GPU 系统信息: 用户名 主机名 域名 磁盘名 系统目录路径 网络信息: Mac地址 局域网地址 广域网地址 ASN ISP 安全信息: 反病毒软件 防火墙信息 其他信息: 时区 所在国家 解密出的相关字符串: 6.9 其他功能 文件下载及执行 进程管理(启动/结束指定进程) TCP连接管理(获取列表或关闭指定连接) 浏览器控制(访问URL或发送HTTP请求) 7. 防御建议 7.1 针对远控木马的防御 提高安全意识 不轻易点击不明链接或下载附件 仔细检查邮件来源和内容 技术防护措施 使用专业安全软件进行防护 启用双因素认证 定期验证链接和附件的安全性 系统加固 禁用不必要的脚本执行 限制PowerShell使用权限 监控注册表关键位置变更 应急响应 及时报告可疑邮件 定期备份重要数据 建立安全事件响应流程 7.2 针对钓鱼邮件的防御 邮件过滤 部署高级邮件安全网关 启用附件沙箱分析 实施发件人策略框架(SPF)、域密钥识别邮件(DKIM)和基于域的消息认证(DMARC) 用户培训 定期开展安全意识培训 进行钓鱼模拟演练 建立可疑邮件报告机制 技术控制 禁用Office宏 限制LNK文件执行 监控异常进程行为 8. 总结 本次攻击事件展示了高级持续性威胁(APT)的典型特征: 使用社会工程学诱饵(法国内政部文件) 多阶段攻击链设计(LNK→BAT→PowerShell→.NET) 复杂的混淆和加密技术 全面的远控功能 隐蔽的持久化机制 防御此类攻击需要技术防护与人员意识相结合,建立多层防御体系,才能有效降低风险。