1. 极安网首页
  2. 网络安全技术

定向攻击事件快速分析

一、事件综述

在9月12日绿盟科技捕获了一起针对某公司的定向钓鱼攻击事件。伏影实验室研究员对此次事件中涉及的钓鱼样本进行了详细分析。

攻击样本使用VMP对木马下载器进行加壳处理,极大的提升了分析难度,通过流量还原的方法,成功获取了其攻击payload,完成了对木马功能的完整分析。

攻击样本中包含了APT组织海莲花的部分攻击手法,采用白加黑手段,利用恶意的wwlib.dll文件执行下载命令,植入由Cobalt Strike生成的木马后门,完成后续的内网移动等攻击行为。

二、诱饵阶段

该样本由以下两部分构成:

定向攻击事件快速分析-极安网

该可执行文件是合法的Microsoft Office Word应用程序,其作用为绕过防护软件启动检测,加载恶意的wwlib.dll程序。

wwlib.dll是诱饵阶段的主要恶意程序。

2.1 wwlib.dll(downloader)

该wwlib.dll程序是一个简单的下载器木马,套用了vmp壳。

样本被加载后立即向指定ip发送HTTP GET请求,获取名为rpc的中间载荷。

定向攻击事件快速分析-极安网

2.2 rpc(shellcode)

恶意wwlib.dll下载到的rpc文件是一段shellcode,由wwlib.dll加载到内存并执行。

该shellcode运行后会释放并运行其中的PE文件。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/508.html