【安全资讯】“WHO”-COVID-19诱饵钓鱼攻击投递

一、事件背景：

新冠肺炎病毒短短数月席卷全球，2月11日世界卫生组织将新冠肺炎病毒名命为COVID-19。

在疫情泛滥的社工背景下，笼罩的不仅是汹涌的网络舆情，更是大批恶意的网络病毒。世界卫生组织也同样被国际黑客利用其名义发起了基于COVID-19为素材的钓鱼攻击。

二、事件描述

近日安恒情报威胁中心hunt预警邮件，其中一封标题为”Breaking!!! COVID-19 Solution Announced by WHO At Last As a total control method is discovered”引起了我们的关注，发件来源是tendros.adhanom@who.int，伪造Tedros Adhanom Ghebreyesus博士邮件投递者，诱饵投递时间2020/3/17 23:09。

邮件内容阐述COVID-19的危害，表述目前研究成果及如何帮助抑制病毒生长对于人与动物都有效，详细请下载附件查看。

邮件末尾还特意添加了Also share with all contacts to ensure rapid control of the epidermic，意图加快恶意附件传播速度与扩散范围，如下所示：

诱饵为了更具有可信性，电话直接使用WHO官方标配：

通过收件人可知，本次钓鱼攻击目标为ELECTROPUTERE SA公司某主任-sdv，electroputere是罗马尼亚著名的公司之一，成立于1949年，拥有近70年的经验，主要业务生产电力变压器和生产旋转电机。

这是一次利用COVID-19素材为社工背景，针对ELECTROPUTERE SA公司定向攻击。

三、样本分析

➣ 第一阶段：邮件母体释放

邮件附件下载后名为COVID-19 Solution by W.H.O_17-03-2020.img，UltraISO提取母体恶意程序exe，如下所示：

     利用VB Dec静态分析，并不能很好的梳理感染传播过程与细节   

     MSVBVM60.DLL跳转，执行创建大量的隐式窗口，这将是vb原模块需要做的工作，如下所示 

 母体数据段data拷贝到申请的内存中，进行运算解密，根据机器码不同对指令集加减xor运算，执行解密shellcode，如下所示：

 ➣ 第二阶段：shllcode装载-执行

1) shellcode一贯作风利用fs寄存器动态获取基址，通过hash来计算函数名获取api。函数名利用hash表示可以减少shellcode体积与逃避杀软对敏感字符串内存探嗅(静态)，如下所示：

 1) 动态分析过程中，发现shellcode利用了两种反调试手段，第一种枚举窗口，第二种inline hook-Dbg系列函数，这与近日捕获的NanoCore家族反调试手法维度大体一致，但是缺少了进程伪装，没有基于PEB修改进程全路径与重定向pid(进程隐藏)。

1) 接着动态获取傀儡注入所需的函数，准确来说这种手法先挂靠后傀儡注入。利用CreateProcessInternalW执行RegAsm.exe，将母体当作参数注册执行，如下所示：

➣ 第三阶段：shellcode挂靠-RAT

1) 先观察RegAsm.exe行为分析，发现原进程中基地址被替换，而且有c2通信，发送窃取的计算机系统信息：

1) VirtualAlloc和CreateProcess等函数上断，最终提取解密.net，经分析认定为Lime变种。LimeRAT 是一款windows下基于.Net的RAT开源远控tool，曾多个APT组织收录LimeRAT当作武器库。

开源RAT优势，黑客团伙减少工具库开发成本，基于框架可快捷插混淆免杀新功能二次开发，该变种是通用混淆de4dot脱之，如下所示。

1) 入口点分析，进入睡眠尝试拖慢分析进程：

1) 创建互斥体格式：”ProcessId-BIos-BaseBoard-VideController”

1) GClass3.bool_2用来开启反虚拟机反调试功能，检测当前是否运行在虚拟机中，调试状态等。如果在虚拟机或沙箱被调试，执行cmd删除自身(cmd.exe /c ping 0 -n 2 & del)

1) 两种方式实现持久化自启动，如下所示：

     数据使用AES-ECB进行解密获取，将计算机数据加密发送的c2服务器中，如下所示 

1) 捕获远程桌面截图功能：

1) 当检测到有数字货币交易时候，将会替换成非法钱包：

➬ 远控指令如下所示：

      Github:https://github.com/NYAN-x-CAT/Lime-RAT 

 攻击流程如下图所示：

一、事件风险：

近几年来基于钓鱼邮件传播RAT趋势逐步增多，全球每天不计其数的垃圾邮件、恶意邮件传播，数百万台的电脑被木马植入控制，窃取客户的隐私数据，挖矿、勒索带来不可估算的利益损失。

RAT家族变种庞大，占据了半壁江山，据数据展示2019年安全造成的企业损失保守在百万美元。

二、安全建议：

钓鱼邮件泛滥，APT-RAT木马猖狂，如何布道企业安全，如何针对不计其数病毒攻击做好应万变的策略与防线，明天鉴威胁(产品介绍)，将为您来带全方位的防御，让您及时、高效、安全快捷将威胁拒之门外。