概览
近期,我国网络安全卫士发现并警报一起由Poulight木马执行的邮件钓鱼攻击事件。Poulight木马自去年起投入使用,功能强大且具有极高的隐蔽性,现已在国内传播。
攻击流程详解
攻击者通过投放一种特殊的钓鱼文件实施攻击。该文件利用RLO(右至左覆盖)技术,将原本名为“ReadMe_txt.lnk.lnk”的文件在用户计算机上显示为“ReadMe_knl.txt”。将该lnk文件的图标设置为记事本图标,诱使用户误以为这是一个无害的txt文档。
用户误以为打开了一个txt文档,实际上却执行了攻击者预置的代码。系统根据攻击者自定义的“目标”内容执行powershell命令,下载恶意程序并设置为隐藏属性后运行。
经分析,下载的恶意程序使用.net编译而成,名为Poullight.exe,开发者未对代码进行混淆处理。
代码及环境分析
被下载到本地的木马会先检查当前环境是否为虚拟机或病毒分析环境,若是即自动退出,以此对抗部分样本分析沙箱。
通过环境检测后,木马开始执行其真正的恶意功能模块。首先加载自身资源并进行Base64解码,得到一系列配置内容。
其中,木马会创建以特定小写字母组合命名的文件,并写入8至32字节的随机值。还会记录用户名、机器名、系统名及安装的反病毒产品信息等详细机器信息。
数据窃取行为
Poulight木马具有广泛的数据窃取能力,包括但不限于窃取桌面截屏、特定文件夹中的敏感文件、网络摄像头照片等。还会窃取包括密码、登录信息、账户信息等在内的敏感数据。
窃取到的数据将被写入到特定目录下的文件中,并上传至两个远程C&C服务器之一。上传的数据会进行编码处理,等待服务器返回确认信息后执行后续操作。
IOCs(Indicator of Compromise)
哈希值
该次攻击涉及的相关哈希值包括:dcb4dfc4c91e5af6d6465529fefef26f等。
C2服务器地址
攻击所用的C2服务器地址为:hxxp://.pk/Panel/gate.php。
URL
与此次攻击相关的URL包括:hxxps:///build.exe、hxxp://ru-uid-507352920.pp.ru/example.exe等。
为防范此类威胁,建议用户及时更新安全软件、保持警惕并避免打开未知来源的邮件附件或链接。