首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2019 > 正文

活動(dòng)版圖擴(kuò)展|我國(guó)能源及制造業(yè)成FormBook攻擊新目標(biāo)

閱讀量：次

FormBook是一種竊取數(shù)據(jù)的惡意軟件，它能夠竊取Web瀏覽器和許多其他應(yīng)用程序的數(shù)據(jù)。自2016年開(kāi)始，F(xiàn)ormBook就被在國(guó)外黑客論壇上售賣(mài)。

近期安恒威脅分析平臺(tái)監(jiān)測(cè)到，使用FormBook惡意軟件的攻擊者又有新活動(dòng)，我國(guó)能源及制造業(yè)也都受到影響。

分析：

FormBook的分發(fā)活動(dòng)大多通過(guò)網(wǎng)絡(luò)釣魚(yú)郵件進(jìn)行傳播，在郵件內(nèi)會(huì)附加多種形式的附件。根據(jù)監(jiān)測(cè)的情況，近期主要以壓縮PE文件的rar壓縮文件為主。

如近期捕獲到的樣本，拼音名稱帶有迷惑性。

解壓后得到一個(gè)圖標(biāo)為abode reader的程序。該程序是一個(gè)VB5.0的程序，經(jīng)分析VB只不過(guò)是一層外部包裹，

?實(shí)際載荷為FormBook，

并且該FormBook的木馬版本為3.9。（樣本在這里不做更多具體分析）。

FormBook在攻擊使用時(shí)會(huì)使用多種不同語(yǔ)言的打包程序進(jìn)行包裹，如VB，.net，C/C++, Delphi等，并有不同程度的加密混淆及反調(diào)試反沙箱技術(shù)，從而導(dǎo)致對(duì)其檢測(cè)識(shí)別難度增加。

FormBook惡意軟件的功能包括以下幾點(diǎn)，通過(guò)注入各種進(jìn)程來(lái)進(jìn)行這些惡意操作。

按鍵記錄
剪貼板監(jiān)控
HTTP / HTTPS / SPDY / HTTP2表單和網(wǎng)絡(luò)請(qǐng)求抓取
瀏覽器和電子郵件客戶端密碼抓取
捕獲屏幕截圖
Bot更新
下載和執(zhí)行文件
Bot刪除
通過(guò)ShellExecute啟動(dòng)命令
清除瀏覽器cookie
重新啟動(dòng)系統(tǒng)
關(guān)閉系統(tǒng)
下載并解壓縮ZIP存檔

FormBook從2016年開(kāi)始就在國(guó)外黑客論壇上進(jìn)行售賣(mài)，但并不直接售賣(mài)木馬構(gòu)建器，而只提供操作界面，相當(dāng)于購(gòu)買(mǎi)惡意軟件即服務(wù)，即攻擊者可以根據(jù)其所需參數(shù)購(gòu)買(mǎi)已編譯的惡意軟件。

根據(jù)捕獲到的攻擊者郵箱域名還能關(guān)聯(lián)到一些域名和樣本，如

?Obero[.]cc
Tjgoldenwheel[.]me
Mccoinico[.]com
Befairchina[.]xyz

? ? 在更早的時(shí)間段還有更多的域名。

在這些域名下都有類似的子域名，以obero[.]cc為例，包含:

www[.]obero[.]cc

mail[.]obero[.]cc

webdisk[.]obero[.]cc

webmail[.]obero[.]cc

cpanel[.]obero[.]cc

并且可以看到攻擊者通過(guò)Leaf PHPMailer作為郵件投遞的工具。

根據(jù)一些關(guān)聯(lián)樣本，攻擊者發(fā)送的主題大多圍繞ORDER、RFQ,、QUOTATION這些商貿(mào)類主題為主，附件名稱也會(huì)和主題呼應(yīng)。如：

攻擊者的攻擊目標(biāo)主要包括制造類、商貿(mào)類的企業(yè)，也包括其他行業(yè)或組織。

通過(guò)郵箱域名的關(guān)聯(lián)發(fā)現(xiàn)了一些信息，如與發(fā)件域名obero[.]cc關(guān)聯(lián)的樣本如:

604279.exe(MD5:6872d1e7b16bdba27693e661d6be1644)等會(huì)回連許多域名，其中包含真實(shí)回連地址，其余起到混淆的作用。分析發(fā)現(xiàn)mansiobbok[.]info域名比較特殊，從whois信息看與郵箱域名同在一個(gè)地方注冊(cè)域名，應(yīng)該為真實(shí)的回連地址。

友商曾在2018年初發(fā)布過(guò)《CVE-2017-8570首次公開(kāi)的野外樣本及漏洞分析》一文，文中攻擊組織利用CVE-2017-8570漏洞進(jìn)行文件投遞，投遞樣本使用的payload為FormBook，并且樣本使用VB編寫(xiě)，也是解密出真正的惡意代碼注入進(jìn)程中執(zhí)行，并且在給出的回連域名中有mansiobbok[.]com這個(gè)域名，和我們關(guān)聯(lián)到的mansiobbok[.]info僅后綴不同，查詢mansiobbok[.]com的whois信息，發(fā)現(xiàn)也是在相同地方注冊(cè)的域名。

判斷這兩者存在極強(qiáng)的關(guān)聯(lián)性，推測(cè)是同一攻擊組織。該攻擊組織持續(xù)利用FormBook惡意軟件進(jìn)行攻擊活動(dòng)，并且善于將新型漏洞或技術(shù)納入自己的武器庫(kù)。

防御建議與總結(jié)：

企業(yè)應(yīng)當(dāng)注重培養(yǎng)人員安全意識(shí)，不輕易打開(kāi)未知來(lái)源的郵件及附件，不隨意點(diǎn)擊未知鏈接，不隨意打開(kāi)未驗(yàn)證可靠來(lái)源的文檔。及時(shí)為信息系統(tǒng)打好補(bǔ)丁。

部署安恒APT預(yù)警平臺(tái)，安恒APT預(yù)警平臺(tái)能夠發(fā)現(xiàn)已知或未知的威脅，APT預(yù)警平臺(tái)的實(shí)時(shí)監(jiān)控能力能夠捕獲并分析郵件附件投遞文檔或程序的威脅性，并能夠?qū)︵]件投遞，漏洞利用、安裝植入、回連控制等各個(gè)階段做強(qiáng)有力的監(jiān)測(cè)。結(jié)合安恒威脅情報(bào)系統(tǒng)，可將國(guó)內(nèi)外的威脅數(shù)據(jù)進(jìn)行匯總，并分析整個(gè)攻擊演進(jìn)和聯(lián)合預(yù)警。

獵影威脅分析團(tuán)隊(duì)將持續(xù)關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài)。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>