3个月前 (06-20)  渗透测试 |   抢沙发  10 
文章评分 0 次,平均分 0.0

随着攻防技术的不断升级,一些传统的攻击方式正在一点一点的消失,而我们在最近发现了一些比较新奇的钓鱼邮件,用于分发勒索软件和银行木马,现在我们对这两种钓鱼方法进行分析

1、通过PDF恶意软件分发Locky勒索软件

近日,我们发现一种通过PDF恶意软件分发Locky勒索软件的,现在通过PDF作为钓鱼还是比较少见,我们来看看是如何进行钓鱼的

样本MD5 d4690177c76b5e86fbd9d6b8e8ee23ed
                                         

我们打开这个样本会发现提示你下载一个word文档,并打开

我们看看pdf的文件内部,我们可以看见内嵌了一个对象,这个对象正是要下载的Word文档

我们来看看这个文档下载到那里,我们看到一段js代码,这段代码就是通过重命名文档名,并提示用户打开

当我们打开文档后,会发现是一个传统的带有宏病毒的word文档

而宏病毒的主要作用就是从网络上下载勒索软件进行分发,为了对抗一些杀毒软件,还将关键词放在窗口中

我们来分发勒索软件的网址

easysupport.us/f87346b

2、通过OLE对象进行钓鱼

打开文档,会发现一段日文提示你双击

我们右键点击属性看看这个对象是什么

可以看到是个js脚本,我们用记事本打开这个js脚本

可以发现是段编码的js脚本

这段js的主要作用是下载一个银行木马,我们看下网络分析

主要从wersy.net/dew.de  这个网址下载,并执行

3、用户如何防止钓鱼软件

​     对于邮件,大家一定要细心,要仔细查看一下发件人,是否是可疑的,对与可疑的,一定要谨慎打开里面的邮件,个人建议在现在钓鱼攻击愈演愈烈的情况下,建立一个虚拟机,将自己不确定是否为可疑的附件,放到虚拟机中打开查看。

建议大家打开文件后缀名,这样在附件中看到 exe和js和hta后缀的要格外小心,对于zip和rar文件要查看里面的文件是否可疑,如果可疑,请不要解压打开

   大家在看到下面字样的,提示的启动宏的时候,一定要格外小心,如果你不是专业人士,请不要点击启用内容,这种带宏的邮件,多半是攻击邮件。

   对于office宏没有使用的用户,建议关闭宏,如下图所示,在信用中心中,禁用所有宏,并且不通知。

发表评论

表情 格式

暂无评论

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享