前天我們部署的設(shè)備捕捉到了一個(gè)利用the Boston Marathon 爆炸熱點(diǎn)事件作為主題傳播的APT郵件攻擊，附件附帶一個(gè)doc文檔，打開后即觸發(fā)cve-2012-0158漏洞，漏洞觸發(fā)成功后，釋放iExplorer.exe和一個(gè)正常的迷惑性的doc文檔，并連接c&c northpoint.eicp.net 網(wǎng)站，接收命令執(zhí)行。

Phish email

郵件以最近發(fā)生的波士頓馬拉松爆炸事件祈禱作為主題進(jìn)行定向攻擊，希望別人打開附件文檔對(duì)這次爆炸事件進(jìn)行祈禱。

Attack doc sample

該apt doc攻擊樣本采用了rtf格式觸發(fā)cve2012-0158漏洞，采用了大量rtf注釋對(duì)抗腳本規(guī)則檢測。目前絕大多數(shù)殺軟無法將其檢測到。該rtf內(nèi)嵌一個(gè)小馬，采用異或加密，同時(shí)對(duì)于0不進(jìn)行異或 對(duì)抗殺軟檢測。異或key=0xFC，偏移0×2509h 是加密的MZ，偏移0×25d9 是加密的PE。

Small Horse

漏洞觸發(fā)成功，釋放小馬以及迷惑性的doc文檔，通過bat文件執(zhí)行

小馬通過QueryUserApc方式注入到ie傀儡進(jìn)程，并從服務(wù)器下載大馬。同時(shí)將自身iExplorer.exe偽裝為“C:\WINDOWS\system32\ymsgr_tray.exe”，并設(shè)置為開機(jī)重啟。同時(shí)會(huì)隨機(jī)生成大量的0×80個(gè)字節(jié)的數(shù)據(jù)，追加到y(tǒng)msgr_tray.exe，來阻止該文件被殺軟的云查殺的上報(bào)。

小馬連接的域名如下

采用https連接，下載大馬執(zhí)行。

數(shù)據(jù)包圖

Big Horse

同樣連接gnorthpoint.eicp.net 域名，該馬主要行為是獲取中招機(jī)器的大量信息，其中包括主機(jī)名、ip、當(dāng)前網(wǎng)絡(luò)tcp、udp連接、磁盤信息、系統(tǒng)進(jìn)程、文件夾下所有的文件名稱、文件內(nèi)容等等然后通過加密HTTPS的方式傳出。

主機(jī)名、ip信息

收集磁盤信息

收集重要文件信息

收集當(dāng)前進(jìn)程信息

加密傳輸 數(shù)據(jù)包