邮件木马

邮件木马
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
Liftoh木马钓鱼邮件正在进行时 cs24认证作者2013-12-20共158873人围观 ，发现 9 个不明物体 资讯
12月中，Dell安全团队CTU(Counter Threat Unit)分析一起最近正在发生的钓鱼邮件。该钓鱼邮件利用“UPS投递通知”为名，向用户安装Liftoh恶意软件。

虽然国内少有使用UPS，但是在国外使用UPS为题材的钓鱼邮件并不少见，这次戴尔调查正在发生的这起钓鱼邮件攻击，最早出现在今年10月份。通过含有漏洞利用代码的文档传输恶意软件。初始的恶意软件就是Liftoh下载者木马，继而通过Liftoh下载进一步的恶意软件到受害者系统中。

邮件正文分析：

钓鱼邮件以“UPS delivery notification tracking number”为主题，邮件正文内容含有一个表明上是“快递号”的恶意连接，以及伪装成.doc的RTF（Rich Text Format）文件。没错，既有恶意附件，也有恶意链接。攻击者为了让用户中招，可谓双管齐下了。正文如下图所示：

邮件头分析：

邮件头伪装成发件人是auto-notify@ups.com或auto@ups.com，但是通过邮件头分析，实际上的发送者如下表所示（可惜Dell并没有附上有关真实发件人的分析方法及截图）如下图所示；

真正的发送者：

1.jpg

更多清单参见文后附件

木马行为分析：

RTF文件包含CVE-2012-0158和CVE-2010-3333的漏洞利用代码。一旦用户打开了RTF文件，就会在用户的%TEMP%目录下生成一个名为“cv.doc”的文件。成功执行利用代码后就会生成Liftoh下载器木马，这个木马最开始是今年5月份时，通过Skype等IM软件进行传播的。同时Liftoh还会下载Phopifas蠕虫病毒。Liftoh开始被以“CD.tmp”或“Winword.exe”文件放到用户的%TEMP%目录下并执行。正常的“Winword.exe”是微软office的word应用程序，应该在Program Files目录下。恶意软件随后复制自己到
%CommonAppData%和%AppData%目录，文件名是随机的，如“afdaafdebcfsacfsfdsf.exe”。Liftoh把恶意代码注入到合法的进程中，例如“explorer.exe”，同时把它添加到系统启动注册表键值
（HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run）下。当用word打开该RTF文件后，情况如下图所示:

CVE.png

Liftoh下载者木马会把受感染机器的GUID发送到C2服务器。通讯利用C2的hostname加密的，C2服务器使用受感染机器的GUID加密命令和恶意软件payload，其通讯POST请求如下所示：

page.intelligence.threats.liftoh.3.png

Liftoh通过固定的“硬编码”URL获取额外的恶意软件，并运行。戴尔研究发现Liftoh会下载比特币矿工和宙斯病毒Zeus/Zbo（版本2.1.1.2）而Phopifas蠕虫病毒则是通过Hotfile文件共享网站下载。如下图所示：

戴尔安全团队检测的统计显示，Liftoh木马从11月份开始异常活跃。

最后，列举一下戴尔安全团队对这波钓鱼邮件攻击“威胁信号”threat indicators详情，篇幅所限，此处仅各类型indicator各列举一个。详见文后附件。

2.jpg

附件.rar

PS：虽然在国内使用UPS并不多，虽然这个Liftoh木马似乎名不见经传，但是，这是一起较为全面的钓鱼邮件分析过程，从邮件内容、邮件头、发件人、恶意软件分析方面都进行了分析，更重要的是提供了详细的threat indicators，有助于以此发现相关联的攻击事件。

by cs24@freebuf 编译自secureworks

cs24
cs24
71 篇文章
等级： 7级
||
上一篇：人民银行惨遭国外矿工DDOS攻击下一篇：“熊猫烧香”作者出狱后开网络赌场获利800万受审
发表评论已有 8 条评论

buffer (3级) 送水的 2013-12-20回复 1楼
Neal咋还不更新！

亮了(3)

Neal 2013-12-20回复
@buffer Neal本季终。等明年吧。。。

亮了(1)

疯狂树哥 2013-12-20回复 2楼
转发微博.

亮了(1)

c0deT 2013-12-20回复 3楼
关于利用UPS的样本两年前或更早的时间就有，而且跨国公司中很多，我盘里还收藏了，dell安全团队落后好几年

亮了(1)

酒无而七 2013-12-20回复 4楼
伪造UPS的钓鱼邮件其实一直都有。Dell这个分析只是拿出近期正在发生的事情。个人觉得他并不是在于炫耀其他分析能力如何厉害。着重于“及时”共享这个信息。如果是企业，拿到这份“threat indicator”，就可以从整个链路上，及早防御，（木马md5特征、外连地址、发件人信息等）。

亮了(1)

c0deT 2013-12-20回复 5楼
效果不大，中得都是物流部门的人，不管doc还是exe都会点击，屡试不爽.

亮了(0)

一直游泳的鱼 (1级) 2013-12-22回复 6楼
戴尔安全团队

亮了(0)

c0_shine 2013-12-20回复 7楼
效果不大，中得都是物流部门的人，不管doc还是exe都会点击，屡试不爽.

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
cs24
cs24认证作者

国内某大型甲方安全工程师

71
文章数
20
评论数
最近文章
揭秘：0day漏洞的供应商到底是谁？
2015.08.12

如何为SOC配备合适的安全分析师
2014.07.17

五月，渗透师不得不知的微软更新
2014.05.26

浏览更多
相关阅读
Linux新型木马Ekocms出现，会截屏、录音利用双11购物节“乘火打劫”的木马分析一次对JSocket远控的分析Asacub进化史：如何从间谍软件到银行恶意软件剖析Smack技术远控木马
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank