Python實戰社羣
Java實戰社羣
長按識別下方二維碼,按需求添加
掃碼關注添加客服
進Python社羣▲
掃碼關注添加客服
進Java社羣▲
作者丨小白
來源丨小白學黑客(ID:xiaobaihacker)
神祕郵件
前幾天,公司HR在羣裏發來了一條消息,說收到一封非常可疑的簡歷郵件。
不枉公司三令五申的信息安全意識培養,咱們的HR小姐姐能有這樣的敏銳意識,得給她點個贊!
最近部門確實在進行人員招聘,也進行了大量的招聘宣傳,每天都要收到不少的簡歷郵件,但這封郵件卻透露着些許古怪。
郵件的正文沒有任何信息,只有一個附件:簡歷.pdf
首先,咱們正常人投個簡歷,怎麼着也會在正文中簡單介紹一下自己吧?誰會像這樣直接留白呢?
其次,附件簡歷的文件名一般都會包含職位、名字等信息吧?就像小白-安全研發工程師-個人簡歷.pdf,誰會直接就叫“簡歷”啊?
沙箱分析
拿到這個pdf文件,別急着打開,弄到虛擬機沙箱中,看一下這貨能不能現出原形。
pdf文件打開一切看起來正常,確實像是一封真實的簡歷,就連應聘人的需求都是匹配的,但查證後發現,其中的聯繫方式全都是虛構的,簡歷內容基本是網絡找來東拼西湊+虛構僞造出來的。
再來看一下樣本的行爲分析,看看有沒有什麼可疑的行爲。
我嘞個去!不看不知道,這傢伙居然釋放了一個程序出來到臨時文件夾,然後把它給執行了起來!
去臨時文件夾中試圖找到這個文件,結果發現文件沒了:
看來這傢伙有點能耐啊!
臨時寫了個腳本,在虛擬機後臺運行,不斷檢測備份臨時文件夾下的文件。
再一次跑了一下樣本文件,總算把這個釋放出來的exe給逮住了。
逆向分析
接下來送它進反彙編神器IDA,扒掉這傢伙的底褲。
打開一看,好傢伙,我直呼好傢伙!也不加個殼啥的,直接裸奔,連基本的指令優化都沒開,這還不給我扒個底朝天。
很快,我發現了一個有意思的地方:
這貨在遍歷文件目錄,像是在搜索什麼東西。
找到文件過濾的地方,這裏是一個數組,在遍歷尋找數組中的內容。
接下來,看一下過濾的字符串,高能來了!!!
居然在找簡歷、offer、工程師關鍵字的文件!!!
這是什麼騷操作?
後面還有一段邏輯,是檢測文件的MD5,防止把自己人“簡歷.pdf”當做了目標。
拿到文件後呢,接着追溯起來,代碼找起來太慢了,還是放沙箱裏面抓行爲吧。
把這個exe再一次送進沙箱分析,來看一下網絡請求。
遺憾的是,並沒有發現有網絡請求,猜測是沒有拿到目標文件所以沒有傳送?
於是我又構造了一個假的Java研發工程師.pdf文件,來釣釣魚。
再來一次,果不其然,魚兒上鉤了,這一次抓到了一個網絡請求:
一個神祕的域名DNS解析!限於沙箱的隔離環境,這個請求實際上並沒有成功,所以也就沒有後續對這個域名的請求了。
遺憾的是,這個域名現在已經關閉了,沒法訪問,難道是別人先一步發現了嗎?
覆盤
案情的全貌浮出了水面:
HR的郵箱收到了一個藏有木馬的《簡歷.pdf》文件,文件打開後會釋放並執行一個木馬程序xxx.exe(隨機名)。
接着木馬會遍歷磁盤目錄,尋找文件名中包含
簡歷
、offer
、工程師
三個關鍵字的文件。拿到文件後,會通過網絡請求將拿到的文件發送出去!
究竟是誰會做這樣的事?細思恐極!
程序員專欄 掃碼關注填加客服 長按識別下方二維碼進羣
近期精彩內容推薦:
在看點這裏好文分享給更多人↓↓