盗墓笔记同人小说,盗墓笔记同人小说,大主宰天蚕土豆

新聞資訊

最新資訊

聯(lián)系我們

手機(jī)：13714172796
郵箱：[email protected]
地址：深圳市龍華區(qū)民治街道民治社區(qū)1970科技園8棟1樓112

行業(yè)動態(tài)

首頁 > 行業(yè)動態(tài)

火絨華南銷售及服務(wù)中心 | 釣魚攻擊通過PDF文檔暗投后門病毒

釣魚攻擊是一種高度隱蔽且極具欺騙性的網(wǎng)絡(luò)威脅，攻擊者通過偽裝成銀行、保險公司、稅務(wù)機(jī)構(gòu)或其他可信機(jī)構(gòu)的官方文件，誘導(dǎo)受害者點擊下載惡意文件。而在生活和工作中，電子文檔作為常用工具，可能也不會讓我們“心生防備”。因此電子文檔可以成為網(wǎng)絡(luò)釣魚攻擊的常用媒介，攻擊者可以通過表象的“電子文檔”來掩蓋快捷方式和隱藏文件夾實際的惡意行為，并且電子文檔的復(fù)雜性和靈活性也導(dǎo)致惡意代碼潛藏很深，難以被普通用戶察覺，令個人和企業(yè)面臨財務(wù)損失和數(shù)據(jù)泄露的風(fēng)險。

近期，火絨威脅情報中心檢測到惡意釣魚PDF樣本攻擊量增多，且個別樣本通過偽裝成快捷方式和隱藏文件夾的方式進(jìn)行傳播。經(jīng)火絨工程師分析，該木馬程序采用雙重攻擊機(jī)制：一方面通過VBS腳本執(zhí)行Python加載器，另一方面利用“白加黑”技術(shù)執(zhí)行惡意文件，最終部署Cobalt Strike遠(yuǎn)控后門。建議日?？梢酝ㄟ^關(guān)注可疑的發(fā)件人地址、不尋常的鏈接或過于緊急的要求來規(guī)避此風(fēng)險。同時技術(shù)防護(hù)手段也不可或缺，如安裝可靠的安全軟件，對郵件和文件進(jìn)行實時掃描和檢測，監(jiān)控異常的網(wǎng)絡(luò)行為。目前，火絨安全產(chǎn)品已具備對該類惡意釣魚PDF樣本的精準(zhǔn)識別與攔截能力，能夠有效保障用戶系統(tǒng)安全。為了進(jìn)一步增強(qiáng)系統(tǒng)防護(hù)能力，火絨安全建議廣大用戶及時更新病毒庫。這將確保您的系統(tǒng)能夠抵御最新威脅，防范潛在安全風(fēng)險。

查殺圖

樣本執(zhí)行流程圖如下：

流程圖

一

樣本分析

Loader動靜態(tài)分析

該樣本的初始傳播載體是一個壓縮包文件，其中包含被設(shè)置為受系統(tǒng)保護(hù)的隱藏文件夾（+s +h），能夠利用快捷方式文件和隱藏的文件夾進(jìn)行惡意釣魚攻擊。

木馬快捷方式利用

默認(rèn)隱藏受保護(hù)文件

顯示木馬文件夾

首先，樣本通過隱藏的快捷方式文件觸發(fā)WScript.exe，以執(zhí)行文件夾中的惡意libmultiprocessing.vbs腳本。

執(zhí)行惡意腳本

隨后，通過該腳本獲取當(dāng)前目錄并加載木馬程序。具體執(zhí)行流程如下：

調(diào)用Python加載Shellcode：首先，此腳本利用系統(tǒng)內(nèi)的Python環(huán)境執(zhí)行Python Loader。隨后，利用Python Loader加載并執(zhí)行一段Shellcode。該Shellcode用于實現(xiàn)后續(xù)操作中木馬程序的下載與執(zhí)行。
利用默認(rèn)程序打開PDF：為了掩蓋其惡意行為，此腳本會調(diào)用默認(rèn)程序打開樣本文件中的PDF文件，誘導(dǎo)用戶認(rèn)為當(dāng)前操作處于正常狀態(tài)。
啟動白加黑木馬：接著，此腳本進(jìn)一步執(zhí)行“白加黑”木馬（即VMwareXferlogs.exe文件）。隨后，該木馬利用合法程序加載惡意DLL，以繞過安全軟件的檢測。