天翼云安全实验室 | 一次钓鱼邮件溯源的技术分享
2022-5-25 18:7:34 Author: www.freebuf.com(查看原文) 阅读量:12 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近期钓⻥邮件攻击事件频发,前不久搜狐大量员工遭邮件诈骗,工资卡余额被划走。天翼云公司对钓鱼邮件攻击高度重视,除日常应对外部组织大量攻击外,还经常发起电信集团内部的演练,配以员⼯安全意识培训等手段,预防钓⻥邮件造成的危害。
今天,笔者将随机选择一封钓鱼邮件进行技术性溯源,看看这封钓鱼邮件来⾃内部演习还是外部攻击,并总结一些日常预防钓鱼邮件的小方法,分享给大家。
2022-05-25-09-23-45.png

1. 附件分析

安全研究人员从邮件中把附件临时人员xxx.zip下载下来。直接打开当然是不行的,就算这个文件以zip结尾。所以首先要判断一下这是个什么文件,使用file命令查看一下:
2022-05-25-09-28-57.png
file命令说这文件就是个ZIP压缩文件。如果对file不那么信任的话,可以再手工判断一下,使用HEX编辑器打开该文件查看:
2022-05-25-09-31-58.png
从HEX编辑器的分析结果可以得到2个信息:

  1. 确实是个ZIP文件,文件内容是以PK开头,就算后缀被改成exe也执行不了,至少操作系统不会认为这是个可执行文件。

  2. 这个ZIP中包含了以exe结尾,但命名中包含docx字段用于迷惑的一个文件。
    双重确认直接就可以对该文件进行解压了,居然还有解压密码,大概是为了通过加密机制绕过邮件的木马扫描机制。解压得到了一个exe文件,其文件名是关于调整薪资结构及发放方式的通知.docx .exe,中间带了一段空格,方便分析起见,把文件名修改成fish.exe吧。
    至于可执行文件的静态动态分析,就直接扔到微步云沙箱上就行了。经过微步平台一段时间的运行和分析,发现该可执行文件在执行的过程中会对一个外部IP发起网络连接:
    2022-05-25-09-59-31.png
    这样,我们就拥有了攻击者的服务器IP信息。

2. 网络分析

首先使用Archon对该IP的开放端口进行扫描,可以见到该IP开启了许多端口。
2022-05-25-10-14-54.png
根据微步沙箱的分析结果,该可执行程序访问的是45234端口,具体的URL是http://IP:45234/VVXY。使用curl对URL请求数据,发现是一堆乱码,应该是加密数据,忽略了也罢,还有很多端口可以研究。
通过浏览器访问3333端口,居然搭建了一个gophish,赤裸裸的一个钓鱼管理后台。尝试了一下gophish的默认用户密码,显示密码错误。
2022-05-25-10-18-28.png
通过浏览器访问5003端口,是个灯塔资产管理平台,这次使用默认的用户名密码居然登录进去了!
2022-05-25-10-21-17.png
尝试进行文件上传,结果服务器返回了500错误,罢了换下一个端口。
2022-05-25-10-22-17.png
使用浏览器访问1022端口,发现一个SQLI-LABS!要说上面的钓鱼管理后台或者灯塔没有漏洞,那这个专门用于SQL注入练习的平台,可就是满满的漏洞了,关键在于,如何化漏洞为己用,如何把SQL注入升级到getshell
2022-05-25-10-29-29.png
SQLI-LABS的攻略很多,随便一搜就有,其中第7关Less-7可以使用SQL语法into outfile对外部写入文件,从而在服务器上写入webshell。首先使用Less-1确认了一下当前用户是root:
2022-05-25-10-35-11.png
然后通过Less-7在网站目录下写入一个webshell,结果发生了Error 13,没有权限:
2022-05-25-10-36-43.png
突然感觉到事情不太对劲,开放在公网的SQLI注入漏洞,应该不会这么简单。这时通过Less-1执行SQL语句load_file查看一下该服务器Apache的配置情况:
2022-05-25-10-41-32.png
从上面可以看出,SQLI-LABS的服务开在的是80端口,但对公网的端口则是1022端口。真相只有一个,这如果不是docker环境,难道还能是Nginx反向代理吗?
瞬间就失去了getshell的兴趣,因为就算getshell成功也是在容器环境中,至于容器逃逸就更麻烦了。这样看来,也就没有必要再对其他端口进行渗透了,在容器盛行的时代,大概除了22、21等特定端口之外大概率就是容器。

3. 社工分析

在渗透上的失利,转而在其他方面寻找突破。发现钓鱼邮件的发件人是个QQ邮箱,邮箱名对应的就是QQ号,所以虽然希望不大,但也值得一试。
经发件邮箱QQ号进行定位,后在某搜索引擎搜索该QQ号,确定IP属地及某兴趣贴吧,分析贴吧用户信息后和QQ号信息吻合。再使用其他搜索引擎进行信息补充地搜索,发现一条网站线索,竟是博客网站,通过网站内容也可以将与攻击者的信息关联上,确定是同一组织或个人所为。最后发现该网站还做了备案,通过备案最终确认了攻击者的信息。

天翼云安全实验室提醒广大读者,谨防钓鱼邮件攻击,在收到邮件时,一定要仔细看邮件的发件人邮箱等信息,对于有附件的邮件,一定要使用杀毒软件对该附件进行扫描,有条件的还应该即时咨询网络管理员,以确保邮件的真实性。


文章来源: https://www.freebuf.com/articles/es/334287.html
如有侵权请联系:admin#unsafe.sh