前天我們部署的設備捕捉到了一個利用the Boston Marathon 爆炸熱點事件作為主題傳播的APT郵件攻擊，附件附帶一個doc文檔，打開后即觸發(fā)cve-2012-0158漏洞，漏洞觸發(fā)成功后，釋放iExplorer.exe和一個正常的迷惑性的doc文檔，并連接c&c northpoint.eicp.net 網(wǎng)站，接收命令執(zhí)行。

Phish email

郵件以最近發(fā)生的波士頓馬拉松爆炸事件祈禱作為主題進行定向攻擊，希望別人打開附件文檔對這次爆炸事件進行祈禱。

Attack doc sample

該apt doc攻擊樣本采用了rtf格式觸發(fā)cve2012-0158漏洞，采用了大量rtf注釋對抗腳本規(guī)則檢測。目前絕大多數(shù)殺軟無法將其檢測到。該rtf內(nèi)嵌一個小馬，采用異或加密，同時對于0不進行異或 對抗殺軟檢測。異或key=0xFC，偏移0×2509h 是加密的MZ，偏移0×25d9 是加密的PE。

Small Horse

漏洞觸發(fā)成功，釋放小馬以及迷惑性的doc文檔，通過bat文件執(zhí)行

小馬通過QueryUserApc方式注入到ie傀儡進程，并從服務器下載大馬。同時將自身iExplorer.exe偽裝為“C:\WINDOWS\system32\ymsgr_tray.exe”，并設置為開機重啟。同時會隨機生成大量的0×80個字節(jié)的數(shù)據(jù)，追加到y(tǒng)msgr_tray.exe，來阻止該文件被殺軟的云查殺的上報。

小馬連接的域名如下

采用https連接，下載大馬執(zhí)行。

數(shù)據(jù)包圖

Big Horse

同樣連接gnorthpoint.eicp.net 域名，該馬主要行為是獲取中招機器的大量信息，其中包括主機名、ip、當前網(wǎng)絡tcp、udp連接、磁盤信息、系統(tǒng)進程、文件夾下所有的文件名稱、文件內(nèi)容等等然后通過加密HTTPS的方式傳出。

主機名、ip信息

收集磁盤信息

收集重要文件信息

收集當前進程信息

加密傳輸 數(shù)據(jù)包