深服气EDR安全团队，收拾剖析了一同某电商垂钓事情，经过相关信息，发现背面或许存在一个“产业链完全”的黑客团伙，研讨发现其具有“一站式服务”的黑客进犯手法。
黑客进犯手法包含但不限于垂钓邮件、缝隙运用、ku病毒、勒索病毒、无文件进犯、远控木马、键盘记载器、暗码破解等，是一次完好而全套的“服务”。

最开端，或许仅仅是一封精心结构的邮件触发的，经过信息收集和长途操控，在闲时ku榨干主机功能，当窃取到满足秘要，又最终“卸磨杀驴”“饮鸠止渴”，履行勒索操作。

0x01 定向撒网捞鱼：垂钓邮件
XX公司现已被黑客盯上了，黑客经过社工拿到该公司的各种邮件账号，并给这些账号发送了垂钓邮件。
职工A收到一份邮件，这是一份包含了doc附件（实际上是一份富文本文件）的邮件，doc名称为TransferCopy.doc。
以下是邮件的基本信息：

看上去是一份无害的文件，点开检查该doc，也未发现异常（但此刻现已开端后台悄悄履行）。
0x02 苍蝇不叮无缝的蛋：缝隙运用
苍蝇不叮无缝的蛋，一个一般的doc文档不能触发什么，可是，那是一个特别结构的文档，里边必定运用了什么缝隙的。
咱们将邮件样本中的Base64加密的附件b64EnTransferCopy.doc提取出来，检测Base64解码的b64DeTransferCopy.doc，发现了b64DeTransferCopy.doc文档中的特别文本。


能够判别其运用了CVE-2010-3333，缝隙溢出后，履行了下载动作。

在doc中发现歹意下载链接：


"http://polariton.rghost.ru/download/74zJT5wtf/b878e693051a8e541381b1d6378f4ddf62b d96b3/b878e693051a8e541381b1d6378f4ddf62bd96b3/b878e693051a8e541381b1d6378f 4ddf62bd96b3/DFGHDFGHJ4567856.exe"
拜访这个网址之后，会跳转到http://rgho.st/74zJT5wtf?r=1088

0x03 侦办兵先行：下载木马
浸透企业内网，免不了先侦办内部主机信息的，黑客最开端，挑选了下载并履行木马，完结开始的信息收集和长途操控。
咱们将这个样本下载下来，检测为.NET程序，程序没有加壳，可是经过了混杂。

经过De4dot反混杂得到如下信息，可是程序仍是存在必定的混杂，选用动态剖析。

动态剖析程序DFGHDFGHJ4567856.exe行为，发现其履行cmd指令 cmd.exe /c systeminfo 获取体系基本信息，写入Info.txt。


开释AutoUpdate.exe并经过设置注册表，设置其为自发动，进行键鼠记载，将一切的动作记载在logs_xx.xx.xxxx(日期格局).htm文件。


开释键鼠记载器pass.exe并发动，进行暗码收集或许暗码破解。

该程序在完结一切开释和发动作业后，会运用HTTP协议衔接歹意C2进行交互（回传信息）。

[1] [2]  黑客接单网