吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11126|回复: 67

[PC样本分析] DocuSign网站用户资料泄露 病毒团伙利用邮件疯狂作恶

  [复制链接]
发表于 2017-5-21 13:01 | 显示全部楼层
一、综述

       近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。请DocuSign的用户提高警惕,在收到相关邮件时仔细查验真伪,不要轻易打开邮件正文中的word文档查看链接。


       火绒安全团队根据截获的病毒邮件分析和溯源,发现知名的数字文档签署平台DocuSign遭到黑客入侵,导致用户资料被泄露。病毒团伙得到用户信息后,伪造了一个假域名“DocuSgn”(比DocuSign少一个字母i),从这里向用户发出病毒邮件,病毒邮件伪装成会计发票,由于邮件标题及正文均使用 DocuSign 品牌标识,充满迷惑性,诱骗用户下载含有恶意代码的word文档,当用户打开文档时,系统会询问用户是否打开被禁用的恶意宏代码,如果用户启用被禁宏,便会开启病毒的多次接力下载,最终下载并运行Zbot。(如下图所示)


       本次病毒邮件攻击的受害人群仅限于DocuSign用户,火绒安全通过虚拟行为沙盒可以检测出恶意行为,所以无需升级即可彻底查杀病毒,并且通过“恶意网址拦截”功能,拦截假冒域名docusgn.com。 

二、事件分析

       近期,火绒工作人员收到了一封来自"docusign"的邮件,经火绒工程师确认,这是一封伪装DocuSign的钓鱼邮件。图中发件人的邮箱地址为dse@docusgn.com,和官方docusign.com有一字之差,如下图所示:


       火绒一共收到4封正文相同的邮件,只是下载文档的地址变换了4次。分别如下:

hxxp://hertretletan.ru/file.php?document=MjEzM3pob3VqdW5AaHVvcm9uZy5jbjYxODg=
hxxp://search4athletes.com/file.php?document=MDY2NHpob3VqdW5AaHVvcm9uZy5jbjI1MTg=
hxxp://tannareshedt.ru/file.php?document=NjQzNXpob3VqdW5AaHVvcm9uZy5jbjcwMzE=
hxxp://lasvegastradeshowmarketing.com/file.php?document=NjE3Nnpob3VqdW5AaHVvcm9uZy5jbjU2MTA=

      点击“REVIEW DOCUMENT”下载包含恶意代码的Word文档:


      下载的文档内容也是相似,只有一副图片。火绒初步怀疑该恶意文档是使用MetaSpolit工具生成。打开文档后,Word会询问用户是否打开被禁用的恶意宏代码,如下所图:


       如果按照钓鱼文档的说明,关闭安全警告启用宏,就会触发文档中的恶意脚本,脚本执行过程中会进行多次解密,解密数据来自于宏脚本窗口中的控件对象。控件对象数据如下:


       关键解密过程如下:


       控件对象数据最终会解密出包含恶意代码的PE文件,然后启动系统进程svchost.exe,将解密后的病毒注入到svchost.exe中执行:


       被注入的svchost.exe还是一个下载器,联网后下载另一个病毒程序"BN2589.tmp.exe"到TEMP目录并执行。
       通过分析, “BN2589.tmp.exe”是一个被混淆器多重加密的Zbot。病毒会启动explorer.exe作为傀儡进程运行恶意代码:



       上图中Explorer被病毒Patch了入口点代码,确保在Explorer恢复线程后,可以从入口点跳转到注入的恶意代码,随后跳转到恶意代码入口点继续解密:



       注入到explorer的恶意代码是一个混淆后的动态库,其导入表是经过加密进行存放的,在动态库被注入后会先对其导入表进行修复,修复后进会保留函数地址,并对函数名部分进行擦除:



       其父进程注入explorer时会在其内存块其实地方记录下一段加密的用户配置信息和启动程序路径:




       病毒主逻辑中,首先会检测虚拟机进行反调试:




       该样本中所使用的所有资源都被加密:



      通过解密可以得到C&C服务器域名如下:




       其程序运行中会不断的尝试联网,获取C&C传回的数据信息。在样本中我们还发现大量DNS服务器,如下:

185.121.177.53

185.121.177.177

45.63.25.55

111.67.16.202

142.4.204.111

142.4.205.47

31.3.135.232

62.113.203.55

37.228.151.133

144.76.133.38



       这些DNS服务器具有DNSCrypt功能,推测其目的是加密访问病毒C&C服务器,如下:




       完整的解密后数据:



       根据病毒的行为和复杂程度,结合上图中红色框中的解密出来的字符片段,但是通过此前泄露的ZBot源码,可以断定这就是Zbot无疑:



       Zbot是一个历史悠久且功能复杂的木马程序,因为源码的泄露。使得任何人都可对其修改,我们可以从之前泄露的Zbot源码看到病毒有以下主要行为:

1.获取浏览器cookies,flash player cookies, FTP密码和email密码。




       Zbot会针对不同的FTP和email客户端,读取其保存账户信息的注册表或文件,之后将收集到的信息打包发送到病毒作者的C&C服务器。从下面两张图中,我们可以看到Zbot能够盗取市面上主流FTP和email软件的账户信息。




2.HOOK InternetReadFile 和 InternetReadFileExA函数,在获取网页时向网页中注入代码获取用户的账户信息:



3.HOOK GetClipboardData 函数获取剪切板信息:




4.HOOK TranslateMessage函数,拦截程序消息,当为按钮按下消息时,截屏保存图片。当为键盘按键消息时,则记录按键信息。如下图所示:



       除了上述介绍的几个函数外Zbot还HOOK了一些系统API,和上述方法类似,主要用于获取用户信息,这里就不再详细列举。

       Docusign是数字文档签署平台,其客户多是企业用户。此次Zbot攻击,非常有针对性,结合Zbot的行为, 不排除病毒会窃取商业资料,网银密码、等企业关键信息。

       火绒在拦截到病毒样本之前就已经可以对相关病毒样本进行查杀,并且在拦截到病毒当天就升级了恶意网址拦截,阻拦了虚假域名docusgn.com。



三、附录


样本SHA1:

Eml
652eb7097d327cae8bd8a1d0d8e606f6a77603c8
99d84db0b071f0db97dc9d024349c3f4edb66911
a5f30b73103754923c568d7548af56fceed148b5
eda9ac8e9b21c969c11d05337892e44fa9c1c045
DOC
cb6797ff6eb43748c07faaa7bf949a42929a5220
d6eefe9314ff0c581acf26d5a647e40c9d12fcd8
PE
a809de46a2e21ac6aab7b66dbaa2206332935af3
ae76db7f24a111ca022b00d29fb08cc76cbab41b

分析报告下载链接:http://down4.huorong.cn/doc/docusign.pdf

免费评分

参与人数 38吾爱币 +37 热心值 +37 收起 理由
wentwent + 1 + 1 谢谢@Thanks!
cy_落 + 1 + 1 谢谢@Thanks!
hlink1021 + 1 + 1 热心回复!
smais + 1 + 1 厉害厉害,学习,额,算是了解吧,对于学习来说太难。支持楼主。
MaxMadcc + 1 + 1 我很赞同!
Smi + 1 用心讨论,共获提升!
晨叶欣音 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
呱呱生 + 2 + 1 谢谢@Thanks!
loooooooong + 1 + 1 用心讨论,共获提升!
文可う润心 + 1 + 1 谢谢@Thanks!
温柔的一哥 + 1 + 1 我很赞同!
Macc + 1 + 1 谢谢@Thanks!
onexiao + 1 + 1 我很赞同!
helloword121 + 1 + 1 谢谢@Thanks!
Ravey + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
zamliage + 1 + 1 为人民服务啊!
soyiC + 2 + 1 用心讨论,共获提升!
siuhoapdou + 1 + 1 谢谢@Thanks!
z250967086 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
海底总动员 + 1 我很赞同!
xnzhan + 1 + 1 谢谢@Thanks!
小北风 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
jszy588288088 + 1 + 1 我很赞同!
痴心绝对唯爱 + 1 + 1 用心讨论,共获提升!
一生挚爱 + 1 + 1 大咖
淡じ☆vé嗼 + 1 + 1 用心讨论,共获提升!
Chlrun + 1 + 1 不错不错 学习了
守护神艾丽莎 + 1 + 1 我很赞同!
红阳 + 1 + 1 谢谢@Thanks!
ychenyang + 1 + 1 热心回复!
qmopl + 1 + 1 已答复!
白吱声 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Faithful丶o + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Summer大大 + 1 + 1 谢谢@Thanks!
夏末moent + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
5乐知 + 1 + 1 谢谢@Thanks!
Gleam + 1 + 1 谢谢@Thanks!
彬彬酱 + 1 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

本帖被以下淘专辑推荐:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复

使用道具 举报

发表于 2017-5-21 15:45 | 显示全部楼层
每一步的注释我都打上了,就不作太多解释了,如果有不明白的可以回复问我,如果有大佬能优化一下这个,那就再好不过了
                                                     小生在这先谢谢大家观看我的帖子

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-24 18:42 | 显示全部楼层
厉害厉害                                                   

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-21 13:16 | 显示全部楼层

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-21 13:17 | 显示全部楼层
虽然已经不用火绒,但是还是点赞

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-21 13:26 | 显示全部楼层
楼主大神啊,杀毒软件的高级工程师啊。

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-21 14:09 | 显示全部楼层
给火绒的大光头工程师点个赞

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-21 14:15 | 显示全部楼层
虽然已经不用火绒,但是还是点赞

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-21 14:25 | 显示全部楼层
感谢大佬。

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-21 15:20 | 显示全部楼层
厉害了,  我是看不懂的

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-21 16:46 | 显示全部楼层
支持支持。

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2017-8-21 19:53

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表