js1996官网

20240925181105_9935数字经济的安全基石

申请试用
活动疆域扩大|我国能源及造作业成FormBook攻击新指标_2019_js1996官网动态_关于js1996官网_js1996官网信息

首页 > 关于js1996官网 > js1996官网动态 > 2019 > 正文

活动疆域扩大|我国能源及造作业成FormBook攻击新指标

阅读量:

FormBook是一种窃取数据的恶意软件,它可能窃取Web浏览器和很多其他利用法式的数据。自2016年起头,FormBook就被在国表黑客论坛上售卖。

近期js1996官网威胁分析平台监测到,使用FormBook恶意软件的攻击者又有新活动,我国能源及造作业也都受到影响。

分析:

FormBook的分发活动大多通过网络垂钓邮件进行传布,在邮件内会附加多种大局的附件。凭据监测的情况,近期重要以压缩PE文件的rar压缩文件为主。

20190820144020cYWZ1x

如近期捕获到的样本,拼音名称带有蛊惑性。

20190820144041MFiLcq

解压后得到一个图标为abode reader的法式。该法式是一个VB5.0的法式,经分析VB只不外是一层表部包裹,

20190820144105HgC8kd

?现实载荷为FormBook,

201908201441343fVbKP

并且该FormBook的木马版本为3.9。(样本在这里不做更多具体分析)。

?

FormBook在攻击使用时会使用多种分歧说话的打包法式进行包裹,如VB,.net,C/C++, Delphi等,并有分歧水平的加密混合及反调试反沙箱技术,从而导致对其检测鉴别难度增长。

FormBook恶意软件的职能蕴含以下几点,通过注入各类过程来进行这些恶意操作。

  • 按键纪录

  • 剪贴板监控

  • HTTP / HTTPS / SPDY / HTTP2表单和网络要求抓取

  • 浏览器和电子邮件客户端密码抓取

  • 捕获屏幕截图

  • Bot更新

  • 下载和执行文件

  • Bot删除

  • 通过ShellExecute启动号令

  • 断根浏览器cookie

  • 沉新启动系统

  • 关关系统

  • 下载并解压缩ZIP存档

FormBook从2016年起头就在国表黑客论坛上进行售卖,但并不直接售卖木马构建器,而只提供操作界面,相当于采办恶意软件即服务,即攻击者能够凭据其所需参数采办已编译的恶意软件。

201908201443139G2UvP

20190820144313Cvpwnd

20190820144313nBIkf6

20190820144313PygJIT

20190820144313i7pyEG

20190820144314h8XSuV

凭据捕获到的攻击者邮箱域名还能关联到一些域名和样本,如

  • ?Obero[.]cc

  • Tjgoldenwheel[.]me

  • Mccoinico[.]com

  • Befairchina[.]xyz

? ? 在更早的功夫段还有更多的域名。

在这些域名下都有类似的子域名,以obero[.]cc为例,蕴含:

www[.]obero[.]cc

mail[.]obero[.]cc

webdisk[.]obero[.]cc

webmail[.]obero[.]cc

cpanel[.]obero[.]cc

20190820144420Nkc754

并且能够看到攻击者通过Leaf PHPMailer作为邮件投递的工具。

20190820144551Apek10

凭据一些关联样本,攻击者发送的主题大多萦绕ORDER、RFQ,、QUOTATION这些商贸类主题为主,附件名称也会和主题响应。如:

20190820144630hF2tdp

20190820144630GWfRsx

攻击者的攻击指标重要蕴含造作类、商贸类的企业,也蕴含其他行业或组织。

?

通过邮箱域名的关联发现了一些信息,如与发件域名obero[.]cc关联的样本如:

604279.exe(MD5:6872d1e7b16bdba27693e661d6be1644)等会回连很多域名,其中蕴含真实回连地址,其余起到混合的作用。分析发现mansiobbok[.]info域名比力特殊,从whois信息看与邮箱域名同在一个处所注册域名,应该为真实的回连地址。

20190820144729CxWaqD

友商曾在2018岁首颁布过《CVE-2017-8570初次公开的野表样本及缝隙分析》一文,文中攻击组织利用CVE-2017-8570缝隙进行文件投递,投递样本使用的payload为FormBook,并且样本使用VB编写,也是解密出真正的恶意代码注入过程中执行,并且在给出的回连域名中有mansiobbok[.]com这个域名,和我们关联到的mansiobbok[.]info仅后缀分歧,查问mansiobbok[.]com的whois信息,发现也是在一样处所注册的域名。

20190820144756fyHF8h

判断这两者存在极强的关联性,揣摩是统一攻击组织。该攻击组织持续利用FormBook恶意软件进行攻击活动,并且长于将新型缝隙或技术纳入自己的兵器库。

?

防御建议与总结:

企业该当注沉造就人员安全意识,不等闲打开未知起源的邮件及附件,不轻易点击未知链接,不轻易打开未验证靠得住起源的文档。实时为信息系统打好补丁。

部署js1996官网APT预警平台,js1996官网APT预警平台可能发现已知或未知的威胁,APT预警平台的实时监控能力可能捕获并分析邮件附件投递文档或法式的威胁性,并可能对邮件投递,缝隙利用、装置植入、回连节造等各个阶段做强有力的监测。结合js1996官网威胁谍报系统,可将国内表的威胁数据进行汇总,并分析整个攻击演进和结合预警。

猎影威胁分析团队将持续关注网络安全动态。

关关

20240102184719_8730

客服在线征询入口,等待与您互换

线上征询
commrr_dot04 commrr_dot04on 产品试用

即刻预约免费试用,我们将在24幼时内联系您

联系js1996官网

征询电话:400-6059-110

微信征询
js1996官网信息联系方式
commrr_top
【网站地图】