首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2019 > 正文

活動(dòng)版圖擴(kuò)展|我國能源及制造業(yè)成FormBook攻擊新目標(biāo)

閱讀量：次

FormBook是一種竊取數(shù)據(jù)的惡意軟件，它能夠竊取Web瀏覽器和許多其他應(yīng)用程序的數(shù)據(jù)。自2016年開始，F(xiàn)ormBook就被在國外黑客論壇上售賣。

近期安恒威脅分析平臺監(jiān)測到，使用FormBook惡意軟件的攻擊者又有新活動(dòng)，我國能源及制造業(yè)也都受到影響。

分析：

FormBook的分發(fā)活動(dòng)大多通過網(wǎng)絡(luò)釣魚郵件進(jìn)行傳播，在郵件內(nèi)會(huì)附加多種形式的附件。根據(jù)監(jiān)測的情況，近期主要以壓縮PE文件的rar壓縮文件為主。

如近期捕獲到的樣本，拼音名稱帶有迷惑性。

解壓后得到一個(gè)圖標(biāo)為abode reader的程序。該程序是一個(gè)VB5.0的程序，經(jīng)分析VB只不過是一層外部包裹，

?實(shí)際載荷為FormBook，

并且該FormBook的木馬版本為3.9。（樣本在這里不做更多具體分析）。

FormBook在攻擊使用時(shí)會(huì)使用多種不同語言的打包程序進(jìn)行包裹，如VB，.net，C/C++, Delphi等，并有不同程度的加密混淆及反調(diào)試反沙箱技術(shù)，從而導(dǎo)致對其檢測識別難度增加。

FormBook惡意軟件的功能包括以下幾點(diǎn)，通過注入各種進(jìn)程來進(jìn)行這些惡意操作。

按鍵記錄
剪貼板監(jiān)控
HTTP / HTTPS / SPDY / HTTP2表單和網(wǎng)絡(luò)請求抓取
瀏覽器和電子郵件客戶端密碼抓取
捕獲屏幕截圖
Bot更新
下載和執(zhí)行文件
Bot刪除
通過ShellExecute啟動(dòng)命令
清除瀏覽器cookie
重新啟動(dòng)系統(tǒng)
關(guān)閉系統(tǒng)
下載并解壓縮ZIP存檔

FormBook從2016年開始就在國外黑客論壇上進(jìn)行售賣，但并不直接售賣木馬構(gòu)建器，而只提供操作界面，相當(dāng)于購買惡意軟件即服務(wù)，即攻擊者可以根據(jù)其所需參數(shù)購買已編譯的惡意軟件。

根據(jù)捕獲到的攻擊者郵箱域名還能關(guān)聯(lián)到一些域名和樣本，如

?Obero[.]cc
Tjgoldenwheel[.]me
Mccoinico[.]com
Befairchina[.]xyz

? ? 在更早的時(shí)間段還有更多的域名。

在這些域名下都有類似的子域名，以obero[.]cc為例，包含:

www[.]obero[.]cc

mail[.]obero[.]cc

webdisk[.]obero[.]cc

webmail[.]obero[.]cc

cpanel[.]obero[.]cc

并且可以看到攻擊者通過Leaf PHPMailer作為郵件投遞的工具。

根據(jù)一些關(guān)聯(lián)樣本，攻擊者發(fā)送的主題大多圍繞ORDER、RFQ,、QUOTATION這些商貿(mào)類主題為主，附件名稱也會(huì)和主題呼應(yīng)。如：

攻擊者的攻擊目標(biāo)主要包括制造類、商貿(mào)類的企業(yè)，也包括其他行業(yè)或組織。

通過郵箱域名的關(guān)聯(lián)發(fā)現(xiàn)了一些信息，如與發(fā)件域名obero[.]cc關(guān)聯(lián)的樣本如:

604279.exe(MD5:6872d1e7b16bdba27693e661d6be1644)等會(huì)回連許多域名，其中包含真實(shí)回連地址，其余起到混淆的作用。分析發(fā)現(xiàn)mansiobbok[.]info域名比較特殊，從whois信息看與郵箱域名同在一個(gè)地方注冊域名，應(yīng)該為真實(shí)的回連地址。

友商曾在2018年初發(fā)布過《CVE-2017-8570首次公開的野外樣本及漏洞分析》一文，文中攻擊組織利用CVE-2017-8570漏洞進(jìn)行文件投遞，投遞樣本使用的payload為FormBook，并且樣本使用VB編寫，也是解密出真正的惡意代碼注入進(jìn)程中執(zhí)行，并且在給出的回連域名中有mansiobbok[.]com這個(gè)域名，和我們關(guān)聯(lián)到的mansiobbok[.]info僅后綴不同，查詢mansiobbok[.]com的whois信息，發(fā)現(xiàn)也是在相同地方注冊的域名。

判斷這兩者存在極強(qiáng)的關(guān)聯(lián)性，推測是同一攻擊組織。該攻擊組織持續(xù)利用FormBook惡意軟件進(jìn)行攻擊活動(dòng)，并且善于將新型漏洞或技術(shù)納入自己的武器庫。

防御建議與總結(jié)：

企業(yè)應(yīng)當(dāng)注重培養(yǎng)人員安全意識，不輕易打開未知來源的郵件及附件，不隨意點(diǎn)擊未知鏈接，不隨意打開未驗(yàn)證可靠來源的文檔。及時(shí)為信息系統(tǒng)打好補(bǔ)丁。

部署安恒APT預(yù)警平臺，安恒APT預(yù)警平臺能夠發(fā)現(xiàn)已知或未知的威脅，APT預(yù)警平臺的實(shí)時(shí)監(jiān)控能力能夠捕獲并分析郵件附件投遞文檔或程序的威脅性，并能夠?qū)︵]件投遞，漏洞利用、安裝植入、回連控制等各個(gè)階段做強(qiáng)有力的監(jiān)測。結(jié)合安恒威脅情報(bào)系統(tǒng)，可將國內(nèi)外的威脅數(shù)據(jù)進(jìn)行匯總，并分析整個(gè)攻擊演進(jìn)和聯(lián)合預(yù)警。

獵影威脅分析團(tuán)隊(duì)將持續(xù)關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài)。

關(guān)閉

AI智能體專區(qū)

AI智能體專區(qū)

告警研判和降噪智能體

安全運(yùn)營咨詢服務(wù)智能體

惡意郵件研判智能體

數(shù)據(jù)分類分級智能體

API安全智能體

自動(dòng)化滲透測試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測智能體

數(shù)據(jù)安全咨詢服務(wù)智能體

核心安全產(chǎn)品

場景解決方案

Saas產(chǎn)品訂閱專區(qū)

熱門產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺最熱

數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)推薦

明御防火墻最熱

AI時(shí)代網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報(bào)告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測試

AI應(yīng)急響應(yīng)

AI安全咨詢

AI代碼審計(jì)

AI數(shù)字安全教師

AI+安全服務(wù)

AI+ 安全服務(wù)

一切產(chǎn)品皆資源，一切資源皆服務(wù)

行業(yè)解決方案>

技術(shù)解決方案>

安全意識教育解決方案>

活動(dòng)版圖擴(kuò)展|我國能源及制造業(yè)成FormBook攻擊新目標(biāo)

相關(guān)推薦

告警研判和
降噪智能體

安全運(yùn)營咨詢
服務(wù)智能體

惡意郵件研判
智能體

數(shù)據(jù)分類
分級智能體

API安全
智能體

自動(dòng)化滲透
測試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測智能體

數(shù)據(jù)安全咨詢
服務(wù)智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務(wù)