两封发票主题攻击邮件分析 – 作者:cgf99

一大早收到两封“发票主题”攻击邮件。

0x1基本情况

3月6日上午,邮箱连续收到两封以税务发票“Tax Invoice”为主题的邮件,全部是英文信息,接收时间分别是早上8:27和9:15,附件是windows系统.cab压缩格式文件,内含PE文件,初一看,是一个很直接、很low的攻击方式。

其中第二封邮件的附件没有接收完全(仅仅336B),第一封邮件包含完整的PE文件(cab文件大小为1.02M),利用WINRAR打开,两个.cab文件如下图所示,其中内含的两个exe分别创建于2020年3月5日的22:18和23:13,文件创建时间很接近。

0x2邮件头分析

本地邮件接收客户端是outlook,两封邮件寄送地址分别是[email protected][email protected],两封邮件在outlook主页面看不到具体的收件人信息。

查看两封邮件的头部,分别如下,已去掉收件方相关信息:

邮件 邮件头
邮件1

X-Barracuda-Envelope-From: [email protected]

X-Barracuda-Effective-Source-IP: server.marinebiz.tv[95.168.186.145]

X-Barracuda-Apparent-Source-IP: 95.168.186.145

Received: from [::1] (port=52094 helo=server.marinebiz.tv)  by

 server.marinebiz.tv with
esmtpa (Exim 4.92)    (envelope-from

 <[email protected]>)    id 1jA0pC-0001rb-Ti; Fri, 06 Mar 2020
05:56:47 +0530

MIME-Version: 1.0

Content-Type: multipart/mixed;
boundary=”=_b3c3f613c183dc3457d3a967d71d9688″

Date: Fri, 6 Mar 2020 05:56:46 +0530

From: “Lalitha .S ” <[email protected]>

To: undisclosed-recipients:;

Subject: Invoice No. 013696.

Message-ID:
<[email protected]>

X-ASG-Orig-Subj: Invoice No. 013696.

X-Sender: [email protected]

User-Agent: Roundcube Webmail/1.3.8

X-AntiAbuse: This header was added to track abuse, please
include it with any abuse report

X-AntiAbuse: Primary Hostname – server.marinebiz.tv

X-AntiAbuse: Original Domain – xxx.com.cn

X-AntiAbuse: Originator/Caller UID/GID – [47 12] / [47 12]

X-AntiAbuse: Sender Address Domain – orcspain.es

X-Get-Message-Sender-Via: server.marinebiz.tv:
authenticated_id: [email protected]

X-Authenticated-Sender:
server.marinebiz.tv: [email protected]

邮件2

X-Barracuda-Envelope-From: [email protected]

X-Barracuda-Effective-Source-IP: server.marinebiz.tv[95.168.186.145]

X-Barracuda-Apparent-Source-IP: 95.168.186.145

Received: from [::1] (port=56596 helo=server.marinebiz.tv)  by

 server.marinebiz.tv with
esmtpa (Exim 4.92)    (envelope-from

 <[email protected]>)   id 1jA1ZW-000FZ3-9n; Fri, 06 Mar 2020
06:44:38 +0530

MIME-Version: 1.0

Content-Type: multipart/mixed;
boundary=”=_10de085ef3812b51106adcb305befeaa”

Date: Fri, 6 Mar 2020 06:44:38 +0530

From: Arun Khanduja <[email protected]>

To: undisclosed-recipients:;

Subject: Tax Invoice for the Unit

Reply-To: <[email protected]>

X-ASG-Orig-Subj: Tax Invoice for the Unit

Mail-Reply-To: [email protected]

Message-ID:
<[email protected]>

X-Sender: [email protected]

User-Agent: Roundcube Webmail/1.3.8

X-AntiAbuse: This header was added to track abuse, please
include it with any abuse report

X-AntiAbuse: Primary Hostname – server.marinebiz.tv

X-AntiAbuse: Original Domain – xxx.com.cn

X-AntiAbuse: Originator/Caller UID/GID – [47 12] / [47 12]

X-AntiAbuse: Sender Address Domain – leviton.com

X-Get-Message-Sender-Via: server.marinebiz.tv:
authenticated_id: [email protected]

X-Authenticated-Sender:
server.marinebiz.tv: [email protected]

虽然,从邮件头我们可以看到,这两封邮件分别是以[email protected][email protected]账户发出,其中[email protected]的名称为Lalitha .S,[email protected] 的名称是Arun Khanduja,两个账户名称差异很大,好像攻击者不是同一个人。

但是,经过分析后还是认为两封邮件属于同一攻击来源,主要根据如下:

1.两封邮件都是从server.marinebiz.tv发出,authenticated_id都是[email protected]

2.显示的收件人地址是“Undisclosed-Recipient”(导致在outlook无法看到收件人信息),Undisclosed-Recipient设置可以让收件人收到邮件后无法查看收件人信息,用于群发邮件的时候,不让收件人看到其他接收邮件人的地址。

3.都利用Roundcube Webmail/1.3.8软件用于群发邮件,并且发送时间间隔很短。

server.marinebiz.tv的域名解析地址是:95.168.186.145,位于英国伦敦,直接telnet 95.168.186.145 25端口获取banner信息,确实是部署Exim4.92用作邮件发送服务器。

另外,telnet 95.168.186.145 110的端口信息如下:

邮件接收服务器则是采用Dovecot, Dovecot是一个开源的 IMAP 和 POP3 邮件服务器,支持 Linux/Unix 系统。

访问95.168.186.145的80端口,访问页面如下:

从该页面可以,该IP是属于cPanel公司的服务器,通过搜索发现cPanel是一个托管平台。

因此,可以初步判断[email protected]是server.marinebiz.tv服务器的注册账户,攻击者利用该台服务器发起邮件攻击。网络搜索[email protected]相关信息,发现该邮件地址是2020年ShipTek国际海事大奖的对外联系邮箱,该颁奖会议将于2020年4月7日在迪拜的Dusit Thani酒店举办。如下图所示:

从网站上看,该机构应该属于一个合法企业,说明攻击者可能入侵了该机构的托管服务器用于发动网络攻击。

0x3邮件附件分析

从cab附件中解压完整的PE文件的文件属性如下图:

该PE文件是一个win32程序,运行后在任务管理器中查看如下:

在任务管理器,选择该PE文件,并且选择“打开文件位置”后,来到“%ppdata”目录下,如下图:

直接到CMD下查看,发现该目录下生成一个名为E07D76.exe的隐藏文件,大小和“Invoice No. 013696.exe”一样,如下图所示:

原先运行的“Invoice No. 013696.exe”的会自动删除,在注册表下生成键值如下:

利用Process Monitor查看PE的运行过程,发现该PE文件在运行后,不断连续调用新进程实例运行,如下图所示:

利用wiereshark抓包,发现该PE连接的域名是assemba.co.uk,解析的ip地址是192.185.76.26,访问的是HTTP80端口,如下图所示:

IP所在地址为:美国休斯顿。

HTTP连接成功后,向目标主机的/jpg/five/fre.php页面发送POST数据包,发送的数据包括了windows系统当前登陆账户名、主机名称等,目前该页面无法访问,如下两图所示:

用浏览器直接访问http://192.185.76.26/jpg/five/fre.php,服务器报404错误,可能该台服务器是攻击者入侵的服务器(被管理员发现)或攻击者尚未启动C2控制器进行实际操作,此外,根据返回的页面,我们发现该台服务器也是托管于cPanel。

利用OLLYICE调试该PE文件,运行后发现跳出如下界面:

跟踪调试,发现该PE调用IsDebuggerPresent判定是否属于调试状态:

如果处于调试状态,则弹出对话框:

经过分析得知,该PE是AutoIT3编译而成。AutoIt是一个使用类似BASIC脚本语言的免费软件,它设计用于Windows GUI(图形用户界面)中进行自动化操作。它利用模拟键盘按键,鼠标移动和窗口/控件的组合来实现自动化任务。

利用exe2aut进行反编译,发现无法成功,经过分析该exe基于最新版本的autoit3版本,目前的exe2aut不支持该版本。有兴趣的小伙伴可以跟踪动态调试。

0x4小结

这是一个非常粗暴的邮件攻击方法,攻击者直接通过发送exe恶意程序用于传播,而不是类似利用文档漏洞的攻击方式。EXE文件利用AutoIt3最新版制作,修改重新编译比较方便,并且目前网络上还很难找到直接反编译的工具,有利于攻击者代码保护。目前该PE文件已经被virustotal收录。

IOCS:

Invoice No. 013696.exe :e8c64db377c590669b3fad71ac58fba8

http://assemba.co.uk/jpg/five/fre.php

192.185.76.26

*本文原创作者:cgf99,本文属于FreeBuf原创奖励计划,未经许可禁止转载

来源:freebuf.com 2020-03-26 14:00:13 by: cgf99

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论