搜索公衆号：黑客Anony

可領全套網絡安全滲透視頻教程，配套攻防靶場。

作者：騰訊電腦管家 來自FreeBuf

騰訊禦見威脅情報中心近期檢測到商貿信木馬家族最新變種攻擊。攻擊者将僞裝成圖片的lnk文件放置于壓縮包中，然後将其作為郵件附件發送給目标郵箱，當被攻擊者收到郵件，并嘗試點擊附件中的“圖片”進行查看時，lnk文件指向的mshta腳本或Powershell惡意代碼會立即執行。

惡意代碼首先會下載并打開一個用于掩飾攻擊行動的圖片，而後台卻在下載商業間諜軟件NanoCoreRAT運行，該商業間諜軟件可完全控制受害者電腦，竊取任意文件資料，執行鍵盤記錄竊取關鍵密碼信息，下載運行任意程序，控制中毒電腦的音頻、攝像頭設備，也可接受遠程指令對目标計算機進行拒絕服務攻擊（DoS）。

以往的商貿信釣魚郵件攻擊，多以word文件作郵件附件來欺騙打開，通過文檔觸發Office高危漏洞(CVE-2017-11882、CVE2017-8759)攻擊為主，此次發現的攻擊直接發送包含惡意代碼執行的lnk文件。一旦用戶雙擊假冒的圖片文件，還以為真的隻看到商品信息，而實際上RAT（遠程控制）木馬已被下載運行。此類攻擊構造簡單，可靈活更換攻擊腳本代碼，惡意代碼的執行并不需要利用電腦安全漏洞，具有高度隐蔽性和欺騙性，會對相關行業人員造成極大威脅。

騰訊電腦管家及騰訊禦點終端安全管理系統均可成功防禦商貿信病毒的本次攻擊。

黑客向目标人員發送郵件。

郵件中說明附件内容為産品信息，并提出關于價格方面的意見。

附件壓縮包中的文件後綴為.jpg.lnk，但并不是圖片文件，而是一個快捷方式（lnk文件）。

對多個類似郵件附件進行分析，發現其中的快捷方式中暗藏的惡意代碼分為兩種：

一種為下載執行遠程mshta腳本，另一種為指向下載執行遠程Powershell腳本，而下載的地址都是77.73.68.175。

下載Hta腳本hxxp://77.73.68.175/BwVuHr/cabinm/nap.hta進行分析，發現其中代碼經過了混淆，同時又包含解密函數：

腳本執行時先通過解密函數對加密的内容進行解密：

解密後的代碼為Powershell腳本，腳本首先下載圖片hxxp://excursiionline.ro/cgib/159.jpg并打開，圖片提示workbook讀取Excel失敗，讓中招者誤以為是附件中的數據格式不支持。

然後下載木馬hxxp://77.73.68.175/BwVuHr/cabinm/nap.exe，獲取三位随機字符作為木馬文件名，并保存木馬至C:\Users\Public\xxx.exe目錄，通過命令Start-Process啟動木馬執行。

Lnk文件打開後導緻木馬下載并被保存至C:\Users\Public\目錄下，木馬外殼使用VB語言編寫，核心代碼實際上為商業間諜軟件NanoCoreRAT：

運行後拷貝自身到Temp目錄下，創建用于啟動木馬的VBS腳本From1Galo.vbs：

将VBS腳本添加注冊表啟動項：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Form1MOTO

創建計劃任務啟動木馬：

計劃任務名：SCSI Subsystem

還會拷貝自身到軟件目錄下，作為另一個副本執行，以增加木馬駐留幾率：

C:\ProgramFiles(x86)\SCSISubsystem\scsiss.exe

(僞裝成SCSI接口設備程序)，并通過注冊表添加啟動項：

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\SCSISubsystem

添加計劃任務啟動：

計劃任務名：SCSI Subsystem Task

分析發現該木馬為商業竊密軟件NanoCoreRAT，主要功能為竊取感染用戶的敏感信息、密碼等，同時還支持多種插件功能。

創建%appdata%Roaming[MachineGuid]文件夾，将當前的時間寫入run.dat并保存在這個目錄中後，将配置信息放入一個字典中用來檢索對應的配置，根據這些信息來執行對應的操作，包括設置自啟動、bypassUAC、設置訪問權限、加載插件等等，并将獲取到的鍵盤輸入信息加密後保存至Logs目錄下。

木馬接收遠程指令執行以下功能：

1.密鑰記錄

2.“壓力測試”或DDoS

3.下載、執行或安裝其他軟件

4.遠程CLI和UI

5.注冊表編輯

6.SOCKS代理

7.防火牆修改

8.網絡攝像頭和音頻控制

木馬連接到C&C服務器，上傳用戶信息和接收下一步的指令，此樣本中包含的C&C地址為：194.5.98.79:9320

1.不要打開不明來源的郵件附件；可修改資源管理器查看文件的選項：“選擇查看文件擴展名”，如果發現任何文件有兩個擴展名，都需要高度警惕。

2.及時打系統補丁和重要軟件的補丁；

3.使用殺毒軟件防禦可能的病毒木馬攻擊；

4.使用騰訊禦界高級威脅檢測系統。禦界高級威脅檢測系統，是基于騰訊反病毒實驗室的安全能力、依托騰訊在雲和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統。

77.73.68.175

194.5.98.79

94.100.18.101

hxxp://77.73.68.175/LUvUtvw/PO4506748678.jpg.zip

hxxp://77.73.68.175/LUvUtvw/out-1331592449.ps1

hxxp://77.73.68.175/BwVuHr/cabinm/nap.hta

hxxp://77.73.68.175/LUvUtvw/out-512330769.ps1

hxxp://77.73.68.175/LUvUtvw/out-2117802234.ps1

hxxp://77.73.68.175/BwVuHr/cabinm/nap.exe

hxxp://excursiionline.ro/cgib/159.jpg

95d241d7748e60423779db4e31595aa3

f059cbce29ab770bddf628f1a921477a

3d4c124df87c3be8d49e49b07a16be84

13654be48ee95fcb4c7d9ee8addf7876

00143acfa694db7393293dda936f6b1c

8cd1e7208641d4c1050a8ced8bec48bf

9f8f5fa0a7966755f4e0797e42e03d41

9203483e93815aa5aafa741edae2b21b

b57b9c113ca398d017b587fbdbeb8734

37886213afee09067d07e0cc973c001f

39aef29d0b341498cdf7f87963369120

fdd99e434664fa04aec707d9f36c9670

204e7679f29b04b3605ddce5c78493bf

22f9bf146e16ef3da4702aadb5afa645

c18bc555dbac0385d2ca58f813f8d3db

3b59af680e370a84a066bb15dfa41000

07e7a14e2e05af9de1562decc12ac5c5

ed06f19eff1bd501bc295b114806124b

9396d2a5f881ead48bdfaafb405b9186

76def4416fdc6f92053b199405470269

4f5fe0af211aa19d4b3f0682e39898cc

公衆号：黑客Anony 歡迎了解更多幹貨！！

聽說好看的人都會關注哦！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!