虚假海啸警报恶意攻击分析教学文档<\/h1>

1. 攻击概述<\/h2>
2018年11月，FortiGuard实验室发现针对日本公民的恶意垃圾邮件活动，这些邮件伪装成日本气象厅(JMA)的海啸预警通知，诱导用户点击恶意链接下载木马程序。<\/p>

1.1 攻击特点<\/h3>

使用虚假JMA域名(jma-go[.]jp)冒充真实域名(jma.go.jp)<\/li>
通过垃圾邮件传播，邮件内容存在语法问题，疑似机器翻译<\/li>
攻击载荷随时间变化：最初部署Smoke Loader，后改为AZORult<\/li>

主要针对日本东北部地区居民<\/li> <\/ul>

2. 攻击技术分析<\/h2>

2.1 攻击流程<\/h3>

用户收到伪装成JMA的垃圾邮件<\/li>
点击邮件中的恶意链接(如hxxp:\/\/www.jma-go[.]jp\/jma\/tsunami\/tsunami_regions.scr)<\/li>
自动下载并执行恶意软件(Smoke Loader或AZORult)<\/li>

恶意软件连接C&C服务器进行后续攻击<\/li> <\/ol>

2.2 恶意软件演变<\/h3>

时间<\/th> 恶意软件<\/th> 下载链接<\/th> C&C服务器<\/th> <\/tr> <\/thead>

11月初<\/td> Smoke Loader<\/td> hxxp:\/\/jma-go[.]jp\/jma\/tsunami\/1.exe<\/td> hxxp:\/\/jma-go[.]jp\/js\/metrology\/jma.php<\/td> <\/tr>

11月25日后<\/td>

AZORult<\/td>

同上<\/td>

时间<\/th>	恶意软件<\/th>	下载链接<\/th>	C&C服务器<\/th> <\/tr> <\/thead>
11月初<\/td>	Smoke Loader<\/td>	hxxp:\/\/jma-go[.]jp\/jma\/tsunami\/1.exe<\/td>	hxxp:\/\/jma-go[.]jp\/js\/metrology\/jma.php<\/td> <\/tr>
11月25日后<\/td>	AZORult<\/td>	同上<\/td>	hxxp:\/\/www.jma-go[.]jp\/java\/java9356\/index.php<\/td> <\/tr> <\/tbody> <\/table> 2.3 传播途径<\/h3> 主要途径：虚假JMA网站<\/li> 其他传播路径： hxxp:\/\/thunderbolt-price[.]com\/Art-and-Jakes\/Coupon.scr<\/li> hxxp:\/\/bite-me.wz.cz\/1.exe<\/li> <\/ul> <\/li> <\/ul> 3. 恶意软件技术细节<\/h2> 3.1 Smoke Loader分析<\/h3> 3.1.1 反分析技术<\/h4> PEB标志检查<\/li> 跳转链反调试检查<\/li> 检测sandboxie(sbiedll)<\/li> 虚拟机检测：检查注册表项： HKLM\System\CurrentControlSet\Services\Disk\Enum<\/li> HKLM\System\ControlControlSet\Enum\IDE<\/li> HKLM\System\ControlControlSet\Enum\SCSI<\/li> <\/ul> <\/li> <\/ul> <\/li> 键盘布局检查：避免感染俄罗斯和乌克兰用户<\/li> <\/ul> 3.1.2 代码注入技术<\/h4> 使用PROPagate技术(2018年7月开始使用)<\/li> 通过回调函数配置UxSubclassInfo结构运行explorer.exe<\/li> 触发解密并执行AZORult的payload<\/li> <\/ul> 3.1.3 进程监控<\/h4> 创建两个线程监控进程和窗口<\/li> 计算进程\/窗口名称哈希并与硬编码值比较<\/li> 匹配则终止相关进程\/窗口<\/li> <\/ul> 3.1.4 C&C通信<\/h4> C&C服务器：hxxp:\/\/jma-go[.]jp\/js\/metrology\/jma.php<\/li> 字符串解密算法： decrypted_byte = not (encrypted_byte xor 0x36 xor 0x04 xor 0xAE xor 0xB8) <\/code><\/pre> <\/li> <\/ul> 3.1.5 第二阶段执行方式<\/h4> 无文件方法：内存映射并直接运行<\/li> 下载DLL并立即加载<\/li> 下载DLL\/EXE并注册为服务(regsvr32)<\/li> <\/ol> 3.2 AZORult分析<\/h3> 3.2.1 信息窃取功能<\/h4> 浏览器历史记录<\/li> 加密货币钱包<\/li> Skype、Telegram、Steam等应用数据<\/li> <\/ul> 3.2.2 C&C通信<\/h4> 版本3.3使用密钥缓冲区和权重解密URL<\/li> 执行方法取决于URI扩展： CreateProcessW<\/li> ShellExecuteExW<\/li> <\/ul> <\/li> <\/ul> 4. 攻击者基础设施分析<\/h2> 4.1 域名注册信息<\/h3> 注册邮箱：lixiaomraz[@]gmail.com<\/li> 相关钓鱼网站： hxxp:\/\/www.montepaschi-decreto-gdpr[.]net<\/li> hxxp:\/\/www.posteweb-sicurezza[.]com<\/li> <\/ul> <\/li> <\/ul> 4.2 其他关联域名<\/h3> hxxp:\/\/www.3djks92lsd[.]biz<\/li> hxxp:\/\/www.38djkf92lsd[.]biz<\/li> hxxp:\/\/www.38djks92lsd[.]biz<\/li> hxxp:\/\/www.348djks92lsd[.]biz<\/li> hxxp:\/\/www.38djks921lsd[.]biz<\/li> <\/ul> 4.3 重定向技术<\/h3> 使用多个重定向域名： hxxp:\/\/writingspiders[.]xyz<\/li> hxxp:\/\/catsamusement[.]xyz<\/li> hxxp:\/\/oatmealtheory[.]xyz<\/li> hxxp:\/\/canvasporter[.]pw<\/li> <\/ul> <\/li> <\/ul> 4.4 隐藏技术<\/h3> 使用1x1 iframe隐藏播放YouTube视频(增加播放量)<\/li> 类似技术也用于Twitter和Facebook<\/li> <\/ul> 5. 防御措施<\/h2> 5.1 Fortinet防护方案<\/h3> FortiGuard Antivirus检测恶意文件<\/li> FortiGuard Web过滤服务阻止恶意URL<\/li> <\/ul> 5.2 通用防御建议<\/h3> 警惕非官方域名的邮件和链接<\/li> 注意域名细节(如jma-go[.]jp vs jma.go.jp)<\/li> 保持安全软件更新<\/li> 对可疑邮件进行验证<\/li> <\/ol> 6. 威胁指标(IOCs)<\/h2> 6.1 文件哈希<\/h3> 27aa9cdf60f1fbff84ede0d77bd49677ec346af050ffd90a43b8dcd528c9633b - W32\/Kryptik.GMMP!tr 42fdaffdbacfdf85945bd0e8bfaadb765dde622a0a7268f8aa70cd18c91a0e85 - W32\/Kryptik.GMOP!tr fb3def9c23ba81f85aae0f563f4156ba9453c2e928728283de4abdfb5b5f426f - W32\/Kryptik.GMVI!tr 70900b5777ea48f4c635f78b597605e9bdbbee469b3052f1bd0088a1d18f85d3 - W32\/GenKryptik.CSCS!tr a1ce72ec2f2fe6139eb6bb35b8a4fb40aca2d90bc19872d6517a6ebb66b6b139 - W32\/Generik.CMTJTLW!tr 7337143e5fb7ecbdf1911e248d73c930a81100206e8813ad3a90d4dd69ee53c7 - W32\/GenKryptik.CSIZ!tr 748c94bfdb94b322c876114fcf55a6043f1cd612766e8af1635218a747f45fb9 - W32\/Generik.JKNHTRB!tr <\/code><\/pre> 6.2 恶意URL<\/h3> 下载地址：<\/strong><\/p> hxxp:\/\/www.jma-go[.]jp\/jma\/tsunami\/tsunami_regions.scr hxxp:\/\/jma-go[.]jp\/jma\/tsunami\/1.exe hxxp:\/\/thunderbolt-price[.]com\/Art-and-Jakes\/Coupon.scr hxxp:\/\/bite-me.wz[.]cz\/1.exe <\/code><\/pre> C&C服务器：<\/strong><\/p> hxxp:\/\/jma-go[.]jp\/js\/metrology\/jma.php hxxp:\/\/www.jma-go[.]jp\/java\/java9356\/index.php <\/code><\/pre> 其他恶意\/钓鱼URL：<\/strong><\/p> hxxp:\/\/montepaschi-decreto-gdpr[.]net\/ hxxp:\/\/montepaschi-decreto-gdpr[.]net\/procedura-per-sblocco-temporaneo-decreto\/conferma_dati.html hxxp:\/\/certificazione.portalemps[.]com\/ hxxp:\/\/certificazione.portalemps[.]com\/verifica-conto\/ hxxp:\/\/Craigslist[.]business hxxp:\/\/Craiglist[.]news hxxp:\/\/www.3djks92lsd[.]biz hxxp:\/\/www.38djkf92lsd[.]biz hxxp:\/\/www.38djks92lsd[.]biz hxxp:\/\/www.348djks92lsd[.]biz hxxp:\/\/www.38djks921lsd[.]biz hxxp:\/\/writingspiders[.]xyz hxxp:\/\/catsamusement[.]xyz hxxp:\/\/oatmealtheory[.]xyz hxxp:\/\/canvasporter[.]pw <\/code><\/pre> 7. 总结<\/h2> 该攻击活动展示了高级持续性威胁(APT)的典型特征：<\/p> 利用社会工程学(虚假灾害警报)<\/li> 使用专业恶意软件(Smoke Loader和AZORult)<\/li> 基础设施快速变化<\/li> 多阶段攻击策略<\/li> 针对特定地区(日本)的精准攻击<\/li> <\/ol> 安全团队应持续监控此类攻击模式，并及时更新防护规则以应对不断演变的威胁。<\/p>

hxxp:\/\/www.jma-go[.]jp\/java\/java9356\/index.php<\/td> <\/tr> <\/tbody> <\/table>

2.3 传播途径<\/h3>

主要途径：虚假JMA网站<\/li>

其他传播路径：

hxxp:\/\/thunderbolt-price[.]com\/Art-and-Jakes\/Coupon.scr<\/li>

hxxp:\/\/bite-me.wz.cz\/1.exe<\/li> <\/ul> <\/li> <\/ul>

3. 恶意软件技术细节<\/h2>

3.1 Smoke Loader分析<\/h3>

3.1.1 反分析技术<\/h4>

PEB标志检查<\/li>
跳转链反调试检查<\/li>
检测sandboxie(sbiedll)<\/li>

虚拟机检测：

检查注册表项：

HKLM\System\CurrentControlSet\Services\Disk\Enum<\/li>
HKLM\System\ControlControlSet\Enum\IDE<\/li>
HKLM\System\ControlControlSet\Enum\SCSI<\/li> <\/ul> <\/li> <\/ul> <\/li>

键盘布局检查：避免感染俄罗斯和乌克兰用户<\/li> <\/ul>

3.1.2 代码注入技术<\/h4>

使用PROPagate技术(2018年7月开始使用)<\/li>
通过回调函数配置UxSubclassInfo结构运行explorer.exe<\/li>

触发解密并执行AZORult的payload<\/li> <\/ul>

3.1.3 进程监控<\/h4>

创建两个线程监控进程和窗口<\/li>
计算进程\/窗口名称哈希并与硬编码值比较<\/li>

匹配则终止相关进程\/窗口<\/li> <\/ul>

3.1.4 C&C通信<\/h4>

C&C服务器：hxxp:\/\/jma-go[.]jp\/js\/metrology\/jma.php<\/li>

字符串解密算法：

decrypted_byte = not (encrypted_byte xor 0x36 xor 0x04 xor 0xAE xor 0xB8)
<\/code><\/pre>
<\/li>
<\/ul>
3.1.5 第二阶段执行方式<\/h4>

无文件方法：内存映射并直接运行<\/li>
下载DLL并立即加载<\/li>
下载DLL\/EXE并注册为服务(regsvr32)<\/li>
<\/ol>
3.2 AZORult分析<\/h3>
3.2.1 信息窃取功能<\/h4>

浏览器历史记录<\/li>
加密货币钱包<\/li>
Skype、Telegram、Steam等应用数据<\/li>
<\/ul>
3.2.2 C&C通信<\/h4>

版本3.3使用密钥缓冲区和权重解密URL<\/li>
执行方法取决于URI扩展：

CreateProcessW<\/li>
ShellExecuteExW<\/li>
<\/ul>
<\/li>
<\/ul>
4. 攻击者基础设施分析<\/h2>
4.1 域名注册信息<\/h3>

注册邮箱：lixiaomraz[@]gmail.com<\/li>
相关钓鱼网站：

hxxp:\/\/www.montepaschi-decreto-gdpr[.]net<\/li>
hxxp:\/\/www.posteweb-sicurezza[.]com<\/li>
<\/ul>
<\/li>
<\/ul>
4.2 其他关联域名<\/h3>

hxxp:\/\/www.3djks92lsd[.]biz<\/li>
hxxp:\/\/www.38djkf92lsd[.]biz<\/li>
hxxp:\/\/www.38djks92lsd[.]biz<\/li>
hxxp:\/\/www.348djks92lsd[.]biz<\/li>
hxxp:\/\/www.38djks921lsd[.]biz<\/li>
<\/ul>
4.3 重定向技术<\/h3>

使用多个重定向域名：

hxxp:\/\/writingspiders[.]xyz<\/li>
hxxp:\/\/catsamusement[.]xyz<\/li>
hxxp:\/\/oatmealtheory[.]xyz<\/li>
hxxp:\/\/canvasporter[.]pw<\/li>
<\/ul>
<\/li>
<\/ul>
4.4 隐藏技术<\/h3>

使用1x1 iframe隐藏播放YouTube视频(增加播放量)<\/li>
类似技术也用于Twitter和Facebook<\/li>
<\/ul>
5. 防御措施<\/h2>
5.1 Fortinet防护方案<\/h3>

FortiGuard Antivirus检测恶意文件<\/li>
FortiGuard Web过滤服务阻止恶意URL<\/li>
<\/ul>
5.2 通用防御建议<\/h3>

警惕非官方域名的邮件和链接<\/li>
注意域名细节(如jma-go[.]jp vs jma.go.jp)<\/li>
保持安全软件更新<\/li>
对可疑邮件进行验证<\/li>
<\/ol>
6. 威胁指标(IOCs)<\/h2>
6.1 文件哈希<\/h3>
27aa9cdf60f1fbff84ede0d77bd49677ec346af050ffd90a43b8dcd528c9633b - W32\/Kryptik.GMMP!tr
42fdaffdbacfdf85945bd0e8bfaadb765dde622a0a7268f8aa70cd18c91a0e85 - W32\/Kryptik.GMOP!tr
fb3def9c23ba81f85aae0f563f4156ba9453c2e928728283de4abdfb5b5f426f - W32\/Kryptik.GMVI!tr
70900b5777ea48f4c635f78b597605e9bdbbee469b3052f1bd0088a1d18f85d3 - W32\/GenKryptik.CSCS!tr
a1ce72ec2f2fe6139eb6bb35b8a4fb40aca2d90bc19872d6517a6ebb66b6b139 - W32\/Generik.CMTJTLW!tr
7337143e5fb7ecbdf1911e248d73c930a81100206e8813ad3a90d4dd69ee53c7 - W32\/GenKryptik.CSIZ!tr
748c94bfdb94b322c876114fcf55a6043f1cd612766e8af1635218a747f45fb9 - W32\/Generik.JKNHTRB!tr
<\/code><\/pre>
6.2 恶意URL<\/h3>
下载地址：<\/strong><\/p>
hxxp:\/\/www.jma-go[.]jp\/jma\/tsunami\/tsunami_regions.scr
hxxp:\/\/jma-go[.]jp\/jma\/tsunami\/1.exe
hxxp:\/\/thunderbolt-price[.]com\/Art-and-Jakes\/Coupon.scr
hxxp:\/\/bite-me.wz[.]cz\/1.exe
<\/code><\/pre>
C&C服务器：<\/strong><\/p>
hxxp:\/\/jma-go[.]jp\/js\/metrology\/jma.php
hxxp:\/\/www.jma-go[.]jp\/java\/java9356\/index.php
<\/code><\/pre>
其他恶意\/钓鱼URL：<\/strong><\/p>
hxxp:\/\/montepaschi-decreto-gdpr[.]net\/
hxxp:\/\/montepaschi-decreto-gdpr[.]net\/procedura-per-sblocco-temporaneo-decreto\/conferma_dati.html
hxxp:\/\/certificazione.portalemps[.]com\/
hxxp:\/\/certificazione.portalemps[.]com\/verifica-conto\/
hxxp:\/\/Craigslist[.]business
hxxp:\/\/Craiglist[.]news
hxxp:\/\/www.3djks92lsd[.]biz
hxxp:\/\/www.38djkf92lsd[.]biz
hxxp:\/\/www.38djks92lsd[.]biz
hxxp:\/\/www.348djks92lsd[.]biz
hxxp:\/\/www.38djks921lsd[.]biz
hxxp:\/\/writingspiders[.]xyz
hxxp:\/\/catsamusement[.]xyz
hxxp:\/\/oatmealtheory[.]xyz
hxxp:\/\/canvasporter[.]pw
<\/code><\/pre>
7. 总结<\/h2>
该攻击活动展示了高级持续性威胁(APT)的典型特征：<\/p>

利用社会工程学(虚假灾害警报)<\/li>
使用专业恶意软件(Smoke Loader和AZORult)<\/li>
基础设施快速变化<\/li>
多阶段攻击策略<\/li>
针对特定地区(日本)的精准攻击<\/li>
<\/ol>
安全团队应持续监控此类攻击模式，并及时更新防护规则以应对不断演变的威胁。<\/p>

虚假海啸警报恶意攻击分析教学文档<\/h1>

1. 攻击概述<\/h2> 2018年11月，FortiGuard实验室发现针对日本公民的恶意垃圾邮件活动，这些邮件伪装成日本气象厅(JMA)的海啸预警通知，诱导用户点击恶意链接下载木马程序。<\/p>

2. 攻击技术分析<\/h2>

3. 恶意软件技术细节<\/h2>

3.1 Smoke Loader分析<\/h3>

3.2 AZORult分析<\/h3>

4. 攻击者基础设施分析<\/h2>

5. 防御措施<\/h2>

6. 威胁指标(IOCs)<\/h2>

1. 攻击概述<\/h2>
2018年11月，FortiGuard实验室发现针对日本公民的恶意垃圾邮件活动，这些邮件伪装成日本气象厅(JMA)的海啸预警通知，诱导用户点击恶意链接下载木马程序。<\/p>