卷土重来之金睛监测数据分析报告.pdf

目录 一. 概述 6 二. 攻击分布 7 2.1 受攻击行业分布 7 2.2 受攻击时间轴分布 7 三. 载荷投递 9 3.1 鱼叉攻击投递时间分布 9 3.2 鱼叉攻击的社会工程学分析 9 3.2.1 附件文件名伪装10 3.2.2 正常文件与恶意文件混用10 3.2.3 诱导降低宏安全级别11 四. 攻击样本的类型分析13 4.1 攻击样本载荷类型分布13 4.2 含有可执行文件的攻击样本分析13 4.3 含有多种文档类型攻击样本分析14 4.3.1 文档类型攻击样本中的漏洞利用分析15 （1） 精准躲避杀毒软件查杀16 （2 ） 多种漏洞武器同时使用18 4.3.2 文档类型攻击样本中的内嵌宏恶意代码分析22 （1） 第一代宏23 （2 ） 第二代宏25 （3） 第三代宏26 4.3.3 文档类型攻击样本中的钓鱼欺诈点击分析28 五. 攻击样本木马特征分析32 5.1 木马功能分析32 5.1.1 远程控制类和窃取信息类木马34 5.1.2 键盘记录类木马35 5.2 木马的隐蔽信道（CC ）分析36 5.2.1 隐蔽信道（CC ）网站分析36 5.2.2 隐蔽信道（CC ）邮箱分析38 六. 攻击样本关联分析39 6.1 攻击载荷关联分析39 6.1.1 鱼叉邮件关联分析39 6.1.2 漏洞关联分析40 （1） CVE-2012-0158 与CVE-2015-1641 40 （2 ） CVE-2012-0158 与CVE-2015-2545 42 6.2 攻击样本中的木马关联分析45 6.2.1 加载器（Loader ）分析45 （1） 第一代Loader 46 （2 ） 第二代 Loader 47 （3） 第三代 Loader 47 6.2.2 木马功能关联分析48 6.3 攻击样本中的CC 域名关联分析50 6.3.1 CC 回连方式关联50 6.3.2 CC 与不同家族木马的关联51 七. 总结53 7.1 “海德薇（Hedwig ）”组织依然活跃53 7.2 攻击技术呈现“工具化、黑产化”特点53 7.3 攻击技术的检测手段需要与时俱进54 八. 关于VenusEye 金睛安全研究团队55 九. 分析报告大事记56 十. 附录58 附录1：加载器详细技术分析58 10.1.1 VB Loader58 10.1.2 C# Loader60 10.1.3 Script Loader 61 10.1.4 Shellcode Loader 66 10.1.5 Combine Loader68 附录2：主要木马技术分析74 10.1.6 Pony 家族74 10.1.7 Neutrino 家族79 10.1.8 键盘记录器88 插图索引 图 2.1 受攻击对象的行业分布情况 7 图 2.2 受攻击时间轴分布情况 8 图 3.1 样本拦截时间分布情况分析 9 图 3.2 反转字符串10 图 3.3 邮件伪造11 图 3.4 诱导点击启用宏12 图 3.5 启用内容提示12 图 4.1 攻击样本恶意类型分析13 图 4.2 含有可执行文件的攻击样本实例14 图 4.3 数字签名盗用实例14 图 4.4 含有多种类型攻击样本分布情况15 图 4.5 攻击样本漏洞利用