关于加强防范钓鱼邮件的通知
字数 1286 2025-08-20 18:17:31

钓鱼邮件样本分析与防范指南

一、样本概述

1.1 初始样本分析

  • 样本名称:"关于加强防范钓鱼邮件的通知.exe"
  • 文件类型:64位C++程序,无壳
  • 伪装方式:以政府通知形式伪装,主题为"关于加强防范钓鱼邮件的通知"
  • 攻击手法:贼喊捉贼策略,邮件号召收件人下载附件了解防范措施

1.2 样本行为

  1. 获取用户名和计算机名
  2. 根据时间戳生成随机值
  3. 创建进程快照并进行进程遍历
  4. 执行异常处理和内存分配操作
  5. 释放二次恶意文件"chrome_pwa_launcher.exe"

二、技术分析

2.1 初始样本分析

  1. 关键函数sub_1400017B0

    • 进行两次内存分配
    • 获取系统运行时间和"USERNAME"环境变量值
    • 通过路径拼接函数(sub_140003020)释放"chrome_pwa_launcher.exe"

  2. 主要功能

    • 窃取用户登录凭据和敏感信息
    • 植入远程控制工具
    • 诱导访问钓鱼网站

2.2 chrome_pwa_launcher.exe分析

2.2.1 反调试技术

  1. 混淆技术

    • WinMain函数定义1200+变量
    • 大量异或操作
    • 导致IDA反编译失败(需修改hexrays.cfg中MAX_FUNCSIZE=1024)

  2. 反调试绕过方法

    • 使用x64dbg调试
    • 搜索字符串"dictator-lusty-fanlight-earphone"定位关键跳转
    • 将导致退出的je指令改为jne

2.2.2 动态行为分析

  1. 网络连接

    • 动态加载WinHttp.dll
    • 连接C2服务器:123.60.143.127
    • 使用WinHttpConnect建立连接

  2. 主要功能

    • 收集系统信息和进程信息
    • 可能实现持久化
    • 接收并执行远程指令

三、攻击特点总结

  1. 高度伪装性

    • 利用政府通知主题
    • 使用合法文档名称
    • 官方口吻的邮件内容

  2. 反检测技术

    • 无壳但混淆严重
    • 反调试机制
    • 动态加载关键模块

  3. 多阶段攻击

    • 初始样本负责信息收集和释放
    • 次级样本实现C2通信
    • 可能还有后续攻击阶段

四、防范措施建议

4.1 个人防护

  1. 邮件安全

    • 警惕所有可执行附件(.exe等)
    • 核实发件人真实性
    • 不点击邮件中的可疑链接或二维码

  2. 系统防护

    • 保持杀毒软件更新
    • 使用虚拟机或沙箱分析可疑文件
    • 限制用户写权限

4.2 企业防护

  1. 技术措施

    • 部署邮件网关和垃圾邮件过滤
    • 监控到可疑IP(如123.60.143.127)的连接
    • 使用SIEM工具分析异常行为

  2. 管理措施

    • 定期安全意识培训
    • 进行钓鱼攻击演练
    • 建立应急响应流程

4.3 分析技巧

  1. 静态分析

    • 修改IDA配置处理大函数
    • 关注字符串和导入函数

  2. 动态分析

    • 使用Process Monitor过滤进程行为
    • 在关键API(如LoadLibrary)下断点
    • 修改关键跳转绕过反调试

五、总结

该钓鱼攻击案例展示了现代恶意软件的典型特征:高度伪装、多阶段攻击和强大的反检测能力。通过分析此类样本,我们可以更好地理解攻击者的技术手段,并制定有效的防御策略。关键是要保持警惕,不轻信看似官方的通知,并建立多层次的安全防护体系。

钓鱼邮件样本分析与防范指南 一、样本概述 1.1 初始样本分析 样本名称 :"关于加强防范钓鱼邮件的通知.exe" 文件类型 :64位C++程序,无壳 伪装方式 :以政府通知形式伪装,主题为"关于加强防范钓鱼邮件的通知" 攻击手法 :贼喊捉贼策略,邮件号召收件人下载附件了解防范措施 1.2 样本行为 获取用户名和计算机名 根据时间戳生成随机值 创建进程快照并进行进程遍历 执行异常处理和内存分配操作 释放二次恶意文件"chrome_ pwa_ launcher.exe" 二、技术分析 2.1 初始样本分析 关键函数sub_ 1400017B0 : 进行两次内存分配 获取系统运行时间和"USERNAME"环境变量值 通过路径拼接函数(sub_ 140003020)释放"chrome_ pwa_ launcher.exe" 主要功能 : 窃取用户登录凭据和敏感信息 植入远程控制工具 诱导访问钓鱼网站 2.2 chrome_ pwa_ launcher.exe分析 2.2.1 反调试技术 混淆技术 : WinMain函数定义1200+变量 大量异或操作 导致IDA反编译失败(需修改hexrays.cfg中MAX_ FUNCSIZE=1024) 反调试绕过方法 : 使用x64dbg调试 搜索字符串"dictator-lusty-fanlight-earphone"定位关键跳转 将导致退出的je指令改为jne 2.2.2 动态行为分析 网络连接 : 动态加载WinHttp.dll 连接C2服务器:123.60.143.127 使用WinHttpConnect建立连接 主要功能 : 收集系统信息和进程信息 可能实现持久化 接收并执行远程指令 三、攻击特点总结 高度伪装性 : 利用政府通知主题 使用合法文档名称 官方口吻的邮件内容 反检测技术 : 无壳但混淆严重 反调试机制 动态加载关键模块 多阶段攻击 : 初始样本负责信息收集和释放 次级样本实现C2通信 可能还有后续攻击阶段 四、防范措施建议 4.1 个人防护 邮件安全 : 警惕所有可执行附件(.exe等) 核实发件人真实性 不点击邮件中的可疑链接或二维码 系统防护 : 保持杀毒软件更新 使用虚拟机或沙箱分析可疑文件 限制用户写权限 4.2 企业防护 技术措施 : 部署邮件网关和垃圾邮件过滤 监控到可疑IP(如123.60.143.127)的连接 使用SIEM工具分析异常行为 管理措施 : 定期安全意识培训 进行钓鱼攻击演练 建立应急响应流程 4.3 分析技巧 静态分析 : 修改IDA配置处理大函数 关注字符串和导入函数 动态分析 : 使用Process Monitor过滤进程行为 在关键API(如LoadLibrary)下断点 修改关键跳转绕过反调试 五、总结 该钓鱼攻击案例展示了现代恶意软件的典型特征:高度伪装、多阶段攻击和强大的反检测能力。通过分析此类样本,我们可以更好地理解攻击者的技术手段,并制定有效的防御策略。关键是要保持警惕,不轻信看似官方的通知,并建立多层次的安全防护体系。