神秘郵件

前幾天，公司HR在群里發(fā)來(lái)了一條消息，說(shuō)收到一封非?？梢傻暮?jiǎn)歷郵件。

不枉公司三令五申的信息安全意識(shí)培養(yǎng)，咱們的HR小姐姐能有這樣的敏銳意識(shí)，得給她點(diǎn)個(gè)贊！

最近部門(mén)確實(shí)在進(jìn)行人員招聘，也進(jìn)行了大量的招聘宣傳，每天都要收到不少的簡(jiǎn)歷郵件，但這封郵件卻透露著些許古怪。

郵件的正文沒(méi)有任何信息，只有一個(gè)附件：簡(jiǎn)歷.pdf

首先，咱們正常人投個(gè)簡(jiǎn)歷，怎么著也會(huì)在正文中簡(jiǎn)單介紹一下自己吧？誰(shuí)會(huì)像這樣直接留白呢？

其次，附件簡(jiǎn)歷的文件名一般都會(huì)包含職位、名字等信息吧？就像小L-安全研發(fā)工程師-個(gè)人簡(jiǎn)歷.pdf，誰(shuí)會(huì)直接就叫“簡(jiǎn)歷”??？

沙箱分析

拿到這個(gè)pdf文件，別急著打開(kāi)，弄到虛擬機(jī)沙箱中，看一下這貨能不能現(xiàn)出原形。

pdf文件打開(kāi)一切看起來(lái)正常，確實(shí)像是一封真實(shí)的簡(jiǎn)歷，就連應(yīng)聘人的需求都是匹配的，但查證后發(fā)現(xiàn)，其中的聯(lián)系方式全都是虛構(gòu)的，簡(jiǎn)歷內(nèi)容基本是網(wǎng)絡(luò)找來(lái)東拼西湊+虛構(gòu)偽造出來(lái)的。

再來(lái)看一下樣本的行為分析，看看有沒(méi)有什么可疑的行為。

我嘞個(gè)去！不看不知道，這家伙居然釋放了一個(gè)程序出來(lái)到臨時(shí)文件夾，然后把它給執(zhí)行了起來(lái)！

去臨時(shí)文件夾中試圖找到這個(gè)文件，結(jié)果發(fā)現(xiàn)文件沒(méi)了：

看來(lái)這家伙有點(diǎn)能耐?。?/p>

臨時(shí)寫(xiě)了個(gè)腳本，在虛擬機(jī)后臺(tái)運(yùn)行，不斷檢測(cè)備份臨時(shí)文件夾下的文件。

再一次跑了一下樣本文件，總算把這個(gè)釋放出來(lái)的exe給逮住了。

逆向分析

接下來(lái)送它進(jìn)反匯編神器IDA，扒掉這家伙的底褲。

打開(kāi)一看，好家伙，我直呼好家伙！也不加個(gè)殼啥的，直接裸奔，連基本的指令優(yōu)化都沒(méi)開(kāi)，這還不給我扒個(gè)底朝天。

很快，我發(fā)現(xiàn)了一個(gè)有意思的地方：

這貨在遍歷文件目錄，像是在搜索什么東西。

找到文件過(guò)濾的地方，這里是一個(gè)數(shù)組，在遍歷尋找數(shù)組中的內(nèi)容。

接下來(lái)，看一下過(guò)濾的字符串，高能來(lái)了！??！

居然在找簡(jiǎn)歷、offer、工程師關(guān)鍵字的文件！??！

這是什么騷操作？

后面還有一段邏輯，是檢測(cè)文件的MD5，防止把自己人“簡(jiǎn)歷.pdf”當(dāng)做了目標(biāo)。

拿到文件后呢，接著追溯起來(lái)，代碼找起來(lái)太慢了，還是放沙箱里面抓行為吧。

把這個(gè)exe再一次送進(jìn)沙箱分析，來(lái)看一下網(wǎng)絡(luò)請(qǐng)求。

遺憾的是，并沒(méi)有發(fā)現(xiàn)有網(wǎng)絡(luò)請(qǐng)求，猜測(cè)是沒(méi)有拿到目標(biāo)文件所以沒(méi)有傳送？

于是我又構(gòu)造了一個(gè)假的Java研發(fā)工程師.pdf文件，來(lái)釣釣魚(yú)。

再來(lái)一次，果不其然，魚(yú)兒上鉤了，這一次抓到了一個(gè)網(wǎng)絡(luò)請(qǐng)求：

一個(gè)神秘的域名DNS解析！限于沙箱的隔離環(huán)境，這個(gè)請(qǐng)求實(shí)際上并沒(méi)有成功，所以也就沒(méi)有后續(xù)對(duì)這個(gè)域名的請(qǐng)求了。

遺憾的是，這個(gè)域名現(xiàn)在已經(jīng)關(guān)閉了，沒(méi)法訪問(wèn)，難道是別人先一步發(fā)現(xiàn)了嗎？

復(fù)盤(pán)

案情的全貌浮出了水面：

HR的郵箱收到了一個(gè)藏有木馬的《簡(jiǎn)歷.pdf》文件，文件打開(kāi)后會(huì)釋放并執(zhí)行一個(gè)木馬程序xxx.exe（隨機(jī)名）。

接著木馬會(huì)遍歷磁盤(pán)目錄，尋找文件名中包含簡(jiǎn)歷、offer、工程師三個(gè)關(guān)鍵字的文件。

拿到文件后，會(huì)通過(guò)網(wǎng)絡(luò)請(qǐng)求將拿到的文件發(fā)送出去！

究竟是誰(shuí)會(huì)做這樣的事？細(xì)思恐極！

責(zé)任編輯：xj

原文標(biāo)題：年輕人不講武德，居然在簡(jiǎn)歷中藏木馬

文章出處：【微信公眾號(hào)：數(shù)據(jù)分析與開(kāi)發(fā)】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。