干货 | 一次对钓鱼邮件攻击者的溯源分析
字数 2447 2025-08-15 21:30:31

钓鱼邮件攻击溯源分析教学文档

一、疫情相关钓鱼邮件背景分析

1.1 疫情钓鱼邮件增长趋势

  • 2020年1月:占比0%
  • 2020年2月:占比0.0634%
  • 2020年3月:占比0.4013%(相比2月增长近6倍)

1.2 常见钓鱼邮件类型

  • 冒充WHO组织
  • 诈骗捐款
  • 疫情物资欺骗
  • 疫情进度(信息)欺骗

1.3 攻击者策略演变

  • 2月初:使用"中国冠状病毒病例:查明您所在地区有多少"等中国疫情相关主题
  • 3月中旬:转为"COVID-19批准的针对中国、意大利的补救措施"等国际热点内容

二、SWEED黑客组织分析

2.1 组织概况

  • 活跃时间:至少从2017年开始运作
  • 主要攻击工具:信息窃取工具和远程访问木马(RAT)
  • 攻击目标:政府、医疗等重要部门

2.2 攻击特征

  • 使用Agent Tesla信息窃取工具
  • 利用CVE-2017-11882漏洞发起攻击
  • 通过SMTP协议回传数据到mailhostbox下注册的邮箱

三、钓鱼邮件样本分析

3.1 样本1:"中国冠状病毒病例:查明您所在地区有多少"

  • 附件:list.xlsx
  • MD5:5fc077636a950cd5f89468e854c0e714
  • 首次攻击时间:2020-03-14 16:33:30

攻击链分析:

  1. 利用CVE-2017-11882公式编辑器漏洞
  2. 从http://216.170.123.111/file.exe下载vbc.exe到%AppData%\Roaming\
  3. vbc.exe内存加载ShellCode执行
  4. ShellCode使用ZwSetInformationThread函数进行反调试
  5. 动态获取进程注入使用的API地址
  6. 创建RegAsm.exe进程并注入ShellCode
  7. 从多个URL下载后续恶意文件(nass.exe和MR_encrypted_D34A1CF.bin)
  8. 最终加载执行Agent Tesla木马

Agent Tesla功能:

  • 收集计算机名、用户名、系统版本及内存大小
  • 窃取浏览器访问记录及保存的账号密码
  • 监控键盘按键和剪切板
  • 支持屏幕截图
  • 支持HTTP、FTP、SMTP三种方式回传数据

3.2 样本2:"Coronavirus - H&Q AUTO Update"

  • 附件:H&Q AUTO customer letter COVID-19 update.doc
  • MD5:1c87c6c304e5fd86126c76ae5d86223b

攻击链分析:

  1. 利用CVE-2017-11882漏洞攻击
  2. 访问域名"sterilizationvalidation.com"下载elb.exe
  3. elb.exe功能与Agent Tesla相同
  4. 通过SMTP协议回传数据

四、受害者影响分析

4.1 受害者统计

  • 共发现342封回传邮件
  • 对应342个受害者
  • 被窃取账号密码1307个
  • 受害者遍布57个国家

4.2 中国受害者情况

  • 发现20多个中国受害者
  • 30多个国内账号被窃取
  • 部分账号仍可在线登录

五、防御建议

5.1 针对企业用户(使用睿眼·邮件攻击溯源系统)

  1. 实时检测疫情相关钓鱼邮件

    • 搜索主题或正文中的疫情关键词
    • 关键词示例:疫|疫情|冠状病毒|病毒|武汉|流感|卫生|COVID-19等

  2. 自定义分组疫情相关钓鱼邮件

    • 设置规则自动将疫情相关邮件归类

  3. 使用MDR邮件攻击溯源服务

    • 深入分析邮件来源、影响范围、攻击目的等

5.2 针对普通邮箱用户

  1. 警惕包含"疫情"、"COVID-19"等热点词汇的邮件
  2. 不要随意下载或打开来历不明的邮件附件
  3. 关闭Office宏功能
    • 路径:选项->信任中心->信任中心设置->宏设置->禁用所有宏
  4. 检查邮件中的链接URL是否与描述一致

六、常见钓鱼邮件特征

6.1 高频邮件主题

  • 中国冠状病毒病例:查明您所在地区有多少
  • Supplier-Face Mask/ Forehead Thermometer
  • COVID-19批准的针对中国,意大利的补救措施
  • World Health Organization - Letter - COVID-19 - Preventive Measures

6.2 常见恶意附件名

  • COVID-19 UPDATE_PDF.EXE
  • list.xlsx
  • H&Q AUTO customer letter COVID-19.doc
  • WHO-COVID-19 Letter.doc

七、IOC指标

7.1 文件哈希

类型 备注
MD5 5fc077636a950cd5f89468e854c0e714 List(1).xlsx
SHA1 f1dd41a8b9807a6c18114f106a18fbba99773f75 List(1).xlsx
MD5 1c87c6c304e5fd86126c76ae5d86223b H&Q AUTO customer letter COVID-19 update.doc

7.2 恶意URL

  • hxxp://216.170.123.111/file[.]exe
  • hxxp://sterilizationvalidation.com/wordpress/wp-content/uploads/2019/files/elb[.]exe
  • webmail.mailhostbox[.]com

八、技术要点总结

  1. CVE-2017-11882漏洞利用

    • Office公式编辑器漏洞
    • 常用于初始攻击向量

  2. Agent Tesla木马特征

    • 信息窃取功能全面
    • 多种数据回传方式
    • 使用SMTP协议时可能暴露攻击者邮箱凭证

  3. 攻击者基础设施

    • 使用被入侵的WordPress网站作为C&C节点
    • 使用mailhostbox等免费邮箱服务

  4. 攻击者行为模式

    • 紧跟疫情热点调整攻击内容
    • 长期持续攻击(案例中邮箱自1月19日就开始接收数据)
钓鱼邮件攻击溯源分析教学文档 一、疫情相关钓鱼邮件背景分析 1.1 疫情钓鱼邮件增长趋势 2020年1月:占比0% 2020年2月:占比0.0634% 2020年3月:占比0.4013%(相比2月增长近6倍) 1.2 常见钓鱼邮件类型 冒充WHO组织 诈骗捐款 疫情物资欺骗 疫情进度(信息)欺骗 1.3 攻击者策略演变 2月初:使用"中国冠状病毒病例:查明您所在地区有多少"等中国疫情相关主题 3月中旬:转为"COVID-19批准的针对中国、意大利的补救措施"等国际热点内容 二、SWEED黑客组织分析 2.1 组织概况 活跃时间:至少从2017年开始运作 主要攻击工具:信息窃取工具和远程访问木马(RAT) 攻击目标:政府、医疗等重要部门 2.2 攻击特征 使用Agent Tesla信息窃取工具 利用CVE-2017-11882漏洞发起攻击 通过SMTP协议回传数据到mailhostbox下注册的邮箱 三、钓鱼邮件样本分析 3.1 样本1:"中国冠状病毒病例:查明您所在地区有多少" 附件:list.xlsx MD5:5fc077636a950cd5f89468e854c0e714 首次攻击时间:2020-03-14 16:33:30 攻击链分析: 利用CVE-2017-11882公式编辑器漏洞 从http://216.170.123.111/file.exe下载vbc.exe到%AppData%\Roaming\ vbc.exe内存加载ShellCode执行 ShellCode使用ZwSetInformationThread函数进行反调试 动态获取进程注入使用的API地址 创建RegAsm.exe进程并注入ShellCode 从多个URL下载后续恶意文件(nass.exe和MR_ encrypted_ D34A1CF.bin) 最终加载执行Agent Tesla木马 Agent Tesla功能: 收集计算机名、用户名、系统版本及内存大小 窃取浏览器访问记录及保存的账号密码 监控键盘按键和剪切板 支持屏幕截图 支持HTTP、FTP、SMTP三种方式回传数据 3.2 样本2:"Coronavirus - H&Q AUTO Update" 附件:H&Q AUTO customer letter COVID-19 update.doc MD5:1c87c6c304e5fd86126c76ae5d86223b 攻击链分析: 利用CVE-2017-11882漏洞攻击 访问域名"sterilizationvalidation.com"下载elb.exe elb.exe功能与Agent Tesla相同 通过SMTP协议回传数据 四、受害者影响分析 4.1 受害者统计 共发现342封回传邮件 对应342个受害者 被窃取账号密码1307个 受害者遍布57个国家 4.2 中国受害者情况 发现20多个中国受害者 30多个国内账号被窃取 部分账号仍可在线登录 五、防御建议 5.1 针对企业用户(使用睿眼·邮件攻击溯源系统) 实时检测疫情相关钓鱼邮件 搜索主题或正文中的疫情关键词 关键词示例:疫|疫情|冠状病毒|病毒|武汉|流感|卫生|COVID-19等 自定义分组疫情相关钓鱼邮件 设置规则自动将疫情相关邮件归类 使用MDR邮件攻击溯源服务 深入分析邮件来源、影响范围、攻击目的等 5.2 针对普通邮箱用户 警惕包含"疫情"、"COVID-19"等热点词汇的邮件 不要随意下载或打开来历不明的邮件附件 关闭Office宏功能 路径:选项->信任中心->信任中心设置->宏设置->禁用所有宏 检查邮件中的链接URL是否与描述一致 六、常见钓鱼邮件特征 6.1 高频邮件主题 中国冠状病毒病例:查明您所在地区有多少 Supplier-Face Mask/ Forehead Thermometer COVID-19批准的针对中国,意大利的补救措施 World Health Organization - Letter - COVID-19 - Preventive Measures 6.2 常见恶意附件名 COVID-19 UPDATE_ PDF.EXE list.xlsx H&Q AUTO customer letter COVID-19.doc WHO-COVID-19 Letter.doc 七、IOC指标 7.1 文件哈希 | 类型 | 值 | 备注 | |------|----|------| | MD5 | 5fc077636a950cd5f89468e854c0e714 | List(1).xlsx | | SHA1 | f1dd41a8b9807a6c18114f106a18fbba99773f75 | List(1).xlsx | | MD5 | 1c87c6c304e5fd86126c76ae5d86223b | H&Q AUTO customer letter COVID-19 update.doc | 7.2 恶意URL hxxp://216.170.123.111/file[ . ]exe hxxp://sterilizationvalidation.com/wordpress/wp-content/uploads/2019/files/elb[ . ]exe webmail.mailhostbox[ . ]com 八、技术要点总结 CVE-2017-11882漏洞利用 Office公式编辑器漏洞 常用于初始攻击向量 Agent Tesla木马特征 信息窃取功能全面 多种数据回传方式 使用SMTP协议时可能暴露攻击者邮箱凭证 攻击者基础设施 使用被入侵的WordPress网站作为C&C节点 使用mailhostbox等免费邮箱服务 攻击者行为模式 紧跟疫情热点调整攻击内容 长期持续攻击(案例中邮箱自1月19日就开始接收数据)