黑客向某企業發送病毒郵件精心構造APT攻擊｜案例分析

雷鋒網注：本文轉載自火絨安全。

日前，火絨工程師接到某公關公司求助，稱在未安裝火絨的情況下，員工所用企業郵箱被盜，并向其服務的多個客戶發送帶有病毒附件的郵件?；鸾q工程師根據該公司提供的郵件及病毒附件分析發現，這是一起有預謀的、針對特定企業進行的APT類攻擊（高級可持續性攻擊）。附件文檔內容并非公司員工編寫，并經過精心設計，可以看出攻擊者對該公司及其所服務客戶工作時間、習慣以及業務等都極其熟悉。

火絨工程師分析，病毒郵件附件為一個壓縮包，內有偽裝成Word文檔的病毒程序（木馬下載器），誘騙用戶點擊。一旦病毒被執行，首先會釋放一個與病毒同名的真實的Word文檔，并同時將自己隱藏到其它目錄中，且可以隨開機自行啟動。

偽裝成Word的病毒程序

隱藏的病毒主要實施兩種行為：一是搜集被攻擊的電腦系統版本和安裝的安全軟件信息，發送至病毒遠程服務器；二是從遠程服務器中下載其它病毒到本地執行。由于該企業求助火絨分析病毒郵件時，距離被攻擊時間已有兩周，其遠程服務器已經無法下載病毒模塊，但依舊處于開啟狀態，不排除后續派發其它病毒到本地執行的可能性。

而值得一提的是，該病毒入侵電腦后還會關閉趨勢安全軟件，該軟件為多數日企所用，這近一步表明攻擊者精準的了解攻擊目標，而非盲目攻擊。

最后，針對此類精準、持續的郵件攻擊，建議廣大企業用戶：

及時尋求安全公司的幫助，查詢病毒來源、去處以及危害，并及時清除病毒，加強安全防護，比如定期修改郵箱密碼；而對于收件方，如果已經執行了病毒附件，也需要聯系安全廠商進行全面排查，防止黑客入侵。此外，還可以安裝靠譜安全軟件定期殺毒，并開啟相關防御功能。

附【事件相關樣本分析】：

某公關顧問公司發現有部分企業郵箱對該公司客戶發送帶有惡意附件的郵件，附件包含的文檔格式經過精心設計，內容非公關公司員工編寫，對客戶的投放較為精準，且對雙方企業構成、業務、工作習慣較為熟悉，帶有明顯的APT攻擊痕跡。

用戶提供的惡意郵件附件為一個壓縮包，壓縮包中包含有偽裝成Word文檔的病毒程序（通過插入Unicode RLO控制符改變文件名的顯示順序），誘騙用戶點擊執行。

病毒主要惡意行為：

1、遍歷進程，查找PC-cillin安全軟件相關程序”pccnt.exe”并結束。

2、解密用于欺騙用戶的Word文檔到病毒當前的目錄下，并打開。

3、將自身移動到%Temp%目錄下，更名為avirra.exe，之后將新的文件路徑添加注冊表啟動項。（HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ravirra）

4、使用主機的用戶名、MAC地址作為標識，并收集主機的系統版本和安裝的安全軟件信息后，將兩段數據簡單加密拼接發送至病毒服務器。（hxxp://180.150.xxx.xxx/ser.php）。

5、從地址hxxp://180.150.xxx.xxx/cbook.jpg下載相關文件解密后執行。下載和解密的相關下載代碼，如下圖所示：

6、以上分析可以證明該病毒屬于攻擊的前期階段，后續攻擊會根據病毒服務器的返回的數據做進一步滲透。

企業聯系火絨提取郵件時，距離郵件發送已超過兩個星期， C&C服務器已經無法請求到病毒相關模塊。但該服務器的Web服務依然處于發布狀態，不排除將來下發其他病毒模塊到被入侵計算機執行的可能性。

建議企業在發生安全事件時，及時與安全公司取得聯系，尋求對樣本分析、事件溯源和安全技術的支持。

雷鋒網從火絨了解到，此次安全事件中，如果收件方已經執行了郵件附件的情況下，也需要聯系安全廠商對企業內網進行檢測，不排除黑客已經入侵到公司內網的可能。

雷鋒網注：本文轉載自火絨安全。