朋友微信聯絡我,說遇到一個釣魚郵件,問我有沒有興趣看看,郵件轉發給我,如下所示:
郵件偽裝成紹興安迪醫療科技有限公司關於COVID-19疫情訂單票據資訊,附件是一個惡意程式,透過分析發現郵件附件攜帶的就是最近非常流行的AgentTesla間諜竊密木馬
AgentTesla原本是一款在2014年釋出的簡單的鍵盤記錄器,最近年來其開發團隊為其不斷修改它的原始碼,在原有的功能上又增加了許多新功能,並且在地址駭客論壇宣傳出售,AgentTesla目前已成為一個商業化的流行間諜竊密木馬,該木馬主要透過釣魚郵件進行傳播,目前這款間諜竊密木馬在全球範圍內都非常流行,主要用於竊取受害者主機的重要資料
1.樣本採用NET語言進行編寫,如下所示:
2.樣本採用Eazfuscator進行混淆處理,如下所示:
3.反混淆之後,如下所示:
4.解密程式中的字串,然後載入執行,如下所示:
5.解密出來的資料,如下所示:
6.呼叫解密後程序的SearchFigure函式,如下所示:
7.解密程式資源資料,然後載入執行,如下所示:
8.程式中包含的資源資料,如下所示:
9.編寫程式解密資源資料,得到竊密木馬核心程式碼,如下所示:
10.透過分析發現這是AgentTesla竊密木馬,如下所示:
11.捕獲到的駭客URL地址hxxp://scarfponcho[.]com/notsite/five/fre.php,IP地址位於美國地區,如下所示:
現在各種惡意軟體橫行,勒索、竊密、殭屍網路成為了全球駭客組織謀利的重要武器,透過竊密木馬盜取目標的重要資料,然後再利用勒索病毒對重要資料進行加密勒索,有些駭客組織透過組織物聯網殭屍網路對指定的目標發起毀滅性的DDOS攻擊,導致目標裝置無法執行,達到網路攻擊的目的,很多企業中了竊密木馬,還不知道,勒索病毒更是屢禁不止,每天都有舊的勒索病毒變種出現,同時又湧現出各種新型的勒索病毒家族,全球網路安全形勢嚴峻,現在很多單位中了勒索都選擇默默交錢,有一些還存在瞞報的情況,這也導致勒索病毒駭客組織越來越多,攻擊越來越頻繁,殭屍網路主要以Mirai變種或新型的基於各種不同平臺的殭屍網路家族為主
常常有讀者朋友透過微信或其他方式給我傳送一些新的惡意軟體或遇到的一些網路攻擊案例,非常感謝這些朋友或讀者給我提供這些最新的攻擊樣本,同時也歡迎各位讀者朋友,不管是你的企業,還是你個人遇到了一些網路安全攻擊事件,都可以透過微信或郵件給我提供各種相關的威脅情報,樣本、域名、IP地址、釣魚郵件、釣魚網站等等
我常常說安全的路很長,未來一定會需要更多專業的安全人才,希望各位正在從事安全領域的安全研究人員,千萬不要被現在圈子裡的一些浮燥的東西所影響,沉下心來,踏踏實實去研究點東西,堅持做下去,其實不管哪家公司,不管它以前發展的有多麼壯大,取得了什麼成績,都已經成為了過去,如果後面沒有更多的努力,積極向上,追求優秀的人才,這家公司未來一定是走下坡路的,任何一家公司都是這樣,就算是像現在BAT這樣的公司,如果不持續發展,沒有更多努力奮鬥的人持續不斷的努力,未來十年,結果也一樣的,漠落都只是時間的問題而已,公司現在的一點點成績,可能是因為前面二三十年的堅持與積累,同時又正好趕上了風口取得的,但現在的這一點點成績,還遠遠不夠,如果大家都只顧著吃老本,驕傲自滿,固步自封,夜郎自大,井底之蛙,那公司很快就會走下坡路,公司要想長期的發展壯大,未來取得更好的成績,就需要持續不斷的努力前行,安全行業,未來一定是有前途的,如果你真的對安全感興趣,堅持去做,多多積累就可以了