神秘郵件

前幾天，公司HR在群里發(fā)來了一條消息，說收到一封非?？梢傻暮?jiǎn)歷郵件。

不枉公司三令五申的信息安全意識(shí)培養(yǎng)，咱們的HR小姐姐能有這樣的敏銳意識(shí)，得給她點(diǎn)個(gè)贊！

最近部門確實(shí)在進(jìn)行人員招聘，也進(jìn)行了大量的招聘宣傳，每天都要收到不少的簡(jiǎn)歷郵件，但這封郵件卻透露著些許古怪。

郵件的正文沒有任何信息，只有一個(gè)附件：簡(jiǎn)歷.pdf

首先，咱們正常人投個(gè)簡(jiǎn)歷，怎么著也會(huì)在正文中簡(jiǎn)單介紹一下自己吧？誰會(huì)像這樣直接留白呢？

其次，附件簡(jiǎn)歷的文件名一般都會(huì)包含職位、名字等信息吧？就像小L-安全研發(fā)工程師-個(gè)人簡(jiǎn)歷.pdf，誰會(huì)直接就叫“簡(jiǎn)歷”啊？

沙箱分析

拿到這個(gè)pdf文件，別急著打開，弄到虛擬機(jī)沙箱中，看一下這貨能不能現(xiàn)出原形。

pdf文件打開一切看起來正常，確實(shí)像是一封真實(shí)的簡(jiǎn)歷，就連應(yīng)聘人的需求都是匹配的，但查證后發(fā)現(xiàn)，其中的聯(lián)系方式全都是虛構(gòu)的，簡(jiǎn)歷內(nèi)容基本是網(wǎng)絡(luò)找來東拼西湊+虛構(gòu)偽造出來的。

再來看一下樣本的行為分析，看看有沒有什么可疑的行為。

我嘞個(gè)去！不看不知道，這家伙居然釋放了一個(gè)程序出來到臨時(shí)文件夾，然后把它給執(zhí)行了起來！

去臨時(shí)文件夾中試圖找到這個(gè)文件，結(jié)果發(fā)現(xiàn)文件沒了：

看來這家伙有點(diǎn)能耐??！

臨時(shí)寫了個(gè)腳本，在虛擬機(jī)后臺(tái)運(yùn)行，不斷檢測(cè)備份臨時(shí)文件夾下的文件。

再一次跑了一下樣本文件，總算把這個(gè)釋放出來的exe給逮住了。

逆向分析

接下來送它進(jìn)反匯編神器IDA，扒掉這家伙的底褲。

打開一看，好家伙，我直呼好家伙！也不加個(gè)殼啥的，直接裸奔，連基本的指令優(yōu)化都沒開，這還不給我扒個(gè)底朝天。

很快，我發(fā)現(xiàn)了一個(gè)有意思的地方：

這貨在遍歷文件目錄，像是在搜索什么東西。

找到文件過濾的地方，這里是一個(gè)數(shù)組，在遍歷尋找數(shù)組中的內(nèi)容。

接下來，看一下過濾的字符串，高能來了！?。?/p>

居然在找簡(jiǎn)歷、offer、工程師關(guān)鍵字的文件?。?！

這是什么騷操作？

后面還有一段邏輯，是檢測(cè)文件的MD5，防止把自己人“簡(jiǎn)歷.pdf”當(dāng)做了目標(biāo)。

拿到文件后呢，接著追溯起來，代碼找起來太慢了，還是放沙箱里面抓行為吧。

把這個(gè)exe再一次送進(jìn)沙箱分析，來看一下網(wǎng)絡(luò)請(qǐng)求。

遺憾的是，并沒有發(fā)現(xiàn)有網(wǎng)絡(luò)請(qǐng)求，猜測(cè)是沒有拿到目標(biāo)文件所以沒有傳送？

于是我又構(gòu)造了一個(gè)假的Java研發(fā)工程師.pdf文件，來釣釣魚。

再來一次，果不其然，魚兒上鉤了，這一次抓到了一個(gè)網(wǎng)絡(luò)請(qǐng)求：

一個(gè)神秘的域名DNS解析！限于沙箱的隔離環(huán)境，這個(gè)請(qǐng)求實(shí)際上并沒有成功，所以也就沒有后續(xù)對(duì)這個(gè)域名的請(qǐng)求了。

遺憾的是，這個(gè)域名現(xiàn)在已經(jīng)關(guān)閉了，沒法訪問，難道是別人先一步發(fā)現(xiàn)了嗎？

復(fù)盤

案情的全貌浮出了水面：

HR的郵箱收到了一個(gè)藏有木馬的《簡(jiǎn)歷.pdf》文件，文件打開后會(huì)釋放并執(zhí)行一個(gè)木馬程序xxx.exe（隨機(jī)名）。

接著木馬會(huì)遍歷磁盤目錄，尋找文件名中包含簡(jiǎn)歷、offer、工程師三個(gè)關(guān)鍵字的文件。

拿到文件后，會(huì)通過網(wǎng)絡(luò)請(qǐng)求將拿到的文件發(fā)送出去！

究竟是誰會(huì)做這樣的事？細(xì)思恐極！

責(zé)任編輯：xj

原文標(biāo)題：年輕人不講武德，居然在簡(jiǎn)歷中藏木馬

文章出處：【微信公眾號(hào)：數(shù)據(jù)分析與開發(fā)】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。