网际思安邮件安全网关与统
新闻资讯
NEWS
热点描述:
本周(2023年08月14日~18日),北京网际思安科技有限公司麦赛安全实验室(MailSec Lab)观察到大量增加的以“工商行政管理局文件通知”为主题的FatalRat木马邮件,请各单位和企业做好相关的防护。关于此批“工商行政管理局文件通知”为主题的病毒样本邮件,如下图所示:
图1. “工商行政管理局文件通知”为主题的FatalRat木马邮件
该邮件通过伪造工商行政管理局的通知,诱导员工下载并解压缩邮件附件,从而释放出恶意程序。当员工双击触发程序后,FatalRAT恶意软件从受感染的计算机上,收集信息并将其发送到 C&C服务器。收集的信息包括IP 地址、用户名、应用和机密信息。
木马介绍:
FatalRAT恶意软件是一个基于C++的木马植入程序,旨在持久性隐藏运行命令并将敏感信息外传到攻击者的远程服务器。麦赛安全实验室研究人员表示:“FatalRAT木马程序能聪明的检查受害者的计算机,并根据计算机的安全防护级别来窃取敏感信息”。
图2. 近年来大量传播的FatalRat木马软件
专家分析:
思安麦赛安全实验室的专家从“附件风险性”和“发件人信息”两方面,对此邮件的风险特征进行了详尽的技术分析。
分析-1:下载的EXE文件
|
|
经过对EXE文件的静态和动态分析可知,员工解压邮件附件并点击“7.exe”文件后会顺序触发如下恶意行为:
(1). 运行环境检测
检测程序是否在真实的物理机上运行?若在沙箱中运行,不触发恶意行为。
(2). 执行恶意行为前的准备活动
在盗取敏感数据前,修改注册表,解密得到C&C服务器地址,并激活键盘操作监听
(3). 盗取敏感数据
搜集敏感数据,并通过加密通道发送给C&C服务器
(4). 横向攻击移动
尝试感染其他同网络的计算机
分析1.1. 运行环境检测
“7.exe”文件被点击运行后,首先对程序的运行环境进行全面检测,确定自身的运行环境是否安全。如果恶意程序发现自身是在虚拟环境中执行(例如:沙箱),将不运行病毒行为,从而躲避安全软件的检测。
图3. FatalRAT启动后检查是否在虚拟环境中执行
图4. FatalRAT检查是否有虚拟机相关服务存在
图5. FatalRAT检查是否有虚拟机相关注册表项存在
分析1.2. 执行恶意行为前的准备活动
如果通过了虚拟机检测,FatalRAT木马就会开始进行恶意活动:
ü 首先,它会解密配置字符串,得到 C&C 地址、恶意软件文件名、服务名和其他设置;
ü 然后,通过修改注册表来禁用 “CTRL+ALT+DELETE”锁定计算机,与此同时修改注册表并创建新服务来实现FatalRAT在受害计算机的永久驻留和运行;
ü 最后,激活 Keylogger来记录受害者计算机上的键盘操作。
图6. FatalRAT解密后获取的配置信息
图7. FatalRAT禁止锁定计算机
图8. FatalRAT修改注册表,并创建新服务
图9 FatalRAT激活keylogger记录键盘操作
分析1.3. 盗取敏感数据
在完成准备活动后,FatalRAT木马搜集受害者计算机上的敏感信息,并通过加密通道发送给C&C服务器。
图10. FatalRAT连接的C&C服务器
图11. FatalRAT搜集敏感信息
图12. 敏感信息加密后发送给C&C服务器
图13. 远程控制执行卸载与安装程序
分析1.4. 横向攻击移动
FatalRAT恶意软件在攻击受害者计算机后,会试图将病毒在网络内部进行传播,来控制更多的计算机。
图14. FatalRat通过 IPC$ 进行横向爆破
图15. FatalRat拷贝传播病毒并远程执行
分析2:发件人信息
|
|
提前划重点:发件人通过QQ邮箱发送邮件,非政府邮箱
该邮件的发件人邮箱地址为“wt13934828398@qq.com”,来自于QQ个人邮箱,而不是工商行政管理局的政府邮箱。因此,很明显该邮件为伪造的邮件。
总结与攻击溯源:
经思安麦赛安全实验室的分析测试,我们认为此“工商行政管理局文件通知”为主题的样本邮件为高危邮件。总结来看,其含有的风险特征包括:
经过静态和动态分析,证明邮件附件为FatalRat恶意软件,用于盗取受害计算机上的敏感信息,并远程控制该计算机;
此恶意邮件通过QQ个人邮箱发送,并没有通过技术手段来伪造发件人地址。
防范建议:
携带木马的恶意邮件是指邮件中包含木马附件或链接。此类邮件可能会采用各种策略来迷惑用户并促使他们打开附件或点击链接。一旦用户执行了这些操作,木马病毒就会被释放或下载到用户的计算机上,从而导致系统被感染。木马病毒可以允许攻击者远程控制受感染的计算机、窃取个人信息、损坏数据、记录按键信息或启动其他恶意活动。
要防范携带木马的邮件,用户应保持安全意识,不轻信可疑邮件,使用防病毒软件进行扫描和检测,并遵循如下一些安全实践:
1. 保持警惕:对于来自陌生发件人或不可信来源的邮件要保持警惕。如果邮件的主题、内容或附件引起您的怀疑,最好避免打开或下载附件;
2. 不随意点击链接:避免在邮件中随意点击链接,特别是来自不可信来源的链接。这些链接可能会引导您访问恶意网站或下载木马病毒;
3. 小心下载附件:慎重对待附件,尤其是来自未知或不可信的发件人的附件。不要轻易打开、执行或下载任何可疑的附件,因为它们可能包含木马病毒;
4. 使用安全软件:确保您的计算机上安装了可靠的防病毒软件和防火墙,并及时更新其病毒定义文件。这些工具可以帮助检测和阻止潜在的木马病毒;
5. 定期更新系统和程序:保持您的操作系统、电子邮件客户端和其他应用程序的更新。这样可以修补已知漏洞,减少被利用的风险;
6. 定期备份数据:定期备份您的重要数据,并将备份存储在离线或安全的位置。这样即使受到木马病毒攻击,您的数据也能得到恢复;
7. 培养安全意识:加强员工和自己的安全意识培训,教育他们如何识别潜在的恶意邮件,并提醒他们不要随意打开或执行可疑的附件;
8. 使用邮件安全防护设备:部署可靠且稳定的邮件安全网关、邮件安全沙箱等邮件安全防护设备;
9. 定期检查安全防护设备:确保邮件安全网关、邮件沙箱等邮件安全防护设备的策略配置正确且生效,并确保设备的防护库已升级到最新版本;
10. 鼓励员工报告可疑邮件:如果收到可疑的病毒邮件,员工应及时将其报告给您的组织或相关机构,以帮助企业采取适当的行动保护其他员工;
麦赛安全实验室(MailSec Lab)介绍:
北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)依托于网际思安过去12年积累的邮件威胁数据,汇集了一批10+工作经验的行业专家,专注于新型邮件威胁的调研,和下一代邮件安全技术的创新性研究。在过去十多年中,MailSec Lab服务于3000+家各个行业领域的典范客户,获得客户的广泛赞誉。与此同时,实验室积极与国际和国内知名信息安全厂商合作,广泛开展威胁情报互换、共同研究等合作,构建共同防御的威胁防护体系。
