5月9號(hào)上午8點(diǎn)，在某大型企業(yè)部署的APT防御設(shè)備捕捉到了利用金融作為主題，以美國花旗銀行的郵件賬戶源的攻擊郵件，附帶DOC的攻擊文檔，并且在該企業(yè)內(nèi)網(wǎng)郵件大量傳播。同時(shí)我們發(fā)現(xiàn)該攻擊主要攻擊從事金融方面或者相關(guān)的企業(yè)。

該攻擊穿透大部分傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，請(qǐng)各大企事業(yè)單位關(guān)注這波攻擊，避免重要資產(chǎn)流失。

APT防御設(shè)備捕捉圖：

Email原文以美國花旗銀行的賬戶為源，并欺騙附件是花旗銀行的支付電子商戶聲明

被攻擊者打開后將會(huì)觸發(fā)CVE2012-0158漏洞，并打開迷惑性的DOC文檔

迷惑性DOC

漏洞觸發(fā)shellcode執(zhí)行后，在臨時(shí)目錄釋放paw.EXE 并執(zhí)行

該exe執(zhí)行后先復(fù)制自身至C:\Documents and Settings\xxx\Application Data 隨機(jī)生成的目錄下，通過不同的啟動(dòng)標(biāo)志執(zhí)行相應(yīng)操作

第一次執(zhí)行復(fù)制自身后，便釋放tmp53865f51.bat 刪除自身及文件

bat
@echo off
:d
del "C:\Documents and Settings\xxx\桌面\paw.exe"
if exist "C:\Documents and Settings\xxx\桌面\paw.exe" goto d
del /F "C:\DOCUME~1\torpedo\LOCALS~1\Temp\tmp53865f51.bat"

第二次執(zhí)行主要枚舉進(jìn)程，找到符合條件的進(jìn)程，注入到系統(tǒng)explorer進(jìn)程 大小0×48000

注入代碼主要功能：枚舉系統(tǒng)進(jìn)程、查找文件、獲取計(jì)算機(jī)信息、系統(tǒng)環(huán)境等信息通過加密的方式發(fā)送到遠(yuǎn)處服務(wù)器上，同時(shí)代碼執(zhí)行過程中有大量的反調(diào)試器跟蹤。

該攻擊樣本存在大量的網(wǎng)絡(luò)連接服務(wù)器節(jié)點(diǎn)，分布在不同國家，其中有美國，俄羅斯，荷蘭等，采用了類似P2P Variant of Zeusbot/Spyeye協(xié)議。

來自http://www.symantec.com/connect/blogs/cracking-new-p2p-variant-zeusbotspyeye

連接數(shù)據(jù)包