简历中居然藏有木马 细思恐极
神秘邮件
前几天,公司hr在群里发来了一条消息,说收到一封非常可疑的简历邮件。
不枉公司三令五申的信息安全意识培养,咱们的hr小姐姐能有这样的敏锐意识,得给她点个赞!
最近部门确实在进行人员招聘,也进行了大量的招聘宣传,每天都要收到不少的简历邮件,但这封邮件却透露着些许古怪。
邮件的正文没有任何信息,只有一个附件:简历.pdf
首先,咱们正常人投个简历,怎么着也会在正文中简单介绍一下自己吧?谁会像这样直接留白呢?
其次,附件简历的文件名一般都会包含职位、名字等信息吧?就像小l-安全研发工程师-个人简历.pdf,谁会直接就叫“简历”啊?
沙箱分析
拿到这个pdf文件,别急着打开,弄到虚拟机沙箱中,看一下这货能不能现出原形。
pdf文件打开一切看起来正常,确实像是一封真实的简历,就连应聘人的需求都是匹配的,但查证后发现,其中的联系方式全都是虚构的,简历内容基本是网络找来东拼西凑+虚构伪造出来的。
再来看一下样本的行为分析,看看有没有什么可疑的行为。
我嘞个去!不看不知道,这家伙居然释放了一个程序出来到临时文件夹,然后把它给执行了起来!
去临时文件夹中试图找到这个文件,结果发现文件没了:
看来这家伙有点能耐啊!
临时写了个脚本,在虚拟机后台运行,不断检测备份临时文件夹下的文件。
再一次跑了一下样本文件,总算把这个释放出来的exe给逮住了。
逆向分析
接下来送它进反汇编神器ida,扒掉这家伙的底裤。
打开一看,好家伙,我直呼好家伙!也不加个壳啥的,直接裸奔,连基本的指令优化都没开,这还不给我扒个底朝天。
很快,我发现了一个有意思的地方:
这货在遍历文件目录,像是在搜索什么东西。
找到文件过滤的地方,这里是一个数组,在遍历寻找数组中的内容。
接下来,看一下过滤的字符串,高能来了!!!
居然在找简历、offer、工程师关键字的文件!!!
这是什么骚操作?
后面还有一段逻辑,是检测文件的md5,防止把自己人“简历.pdf”当做了目标。
拿到文件后呢,接着追溯起来,代码找起来太慢了,还是放沙箱里面抓行为吧。
把这个exe再一次送进沙箱分析,来看一下网络请求。
遗憾的是,并没有发现有网络请求,猜测是没有拿到目标文件所以没有传送?
于是我又构造了一个假的java研发工程师.pdf文件,来钓钓鱼。
再来一次,果不其然,鱼儿上钩了,这一次抓到了一个网络请求:
一个神秘的域名dns解析!限于沙箱的隔离环境,这个请求实际上并没有成功,所以也就没有后续对这个域名的请求了。
遗憾的是,这个域名现在已经关闭了,没法访问,难道是别人先一步发现了吗?
复盘
案情的全貌浮出了水面:
hr的邮箱收到了一个藏有木马的《简历.pdf》文件,文件打开后会释放并执行一个木马程序xxx.exe(随机名)。
接着木马会遍历磁盘目录,寻找文件名中包含简历、offer、工程师三个关键字的文件。
拿到文件后,会通过网络请求将拿到的文件发送出去!
究竟是谁会做这样的事?细思恐极!
原文标题:年轻人不讲武德,居然在简历中藏木马
文章出处:【微信公众号:数据分析与开发】欢迎添加关注!文章转载请注明出处。
华为高管回应用户在飞机上用Mate 60 Pro打卫星电话:是违规行为
如何为互阻抗放大器电路选择运算放大器
苹果台式机好吗?更好的在即将出现,库克确认不放弃桌面级Mac
科大讯飞营业利润来源到底在哪里?业绩变脸利润不足5亿
“T”动力标杆发动机解析
简历中居然藏有木马 细思恐极
超级电容漏电流测试仪AT680A的性能及应用
新能源与可再生能源势必加快进入能源体系主流
摩尔定律下,真的有厂商实现了突破吗?
用于6.6kW EV/PHV车载充电器的继电器
AI算力调度平台,大模型时代云计算的新生意
中国联通对5G赋能智慧冬奥提出了三大场景和十大应用
单片机基础知识:动手搭建自己的第一个单片机实验板
污水流量计的选型_污水流量计安装规范
智能天线在3G系统中的应用简介
华为mate9上市价格,万元手机惊艳亮相 号称手机中的保时捷
区块链在工业大数据智慧云链中的解决方案
智能手机最大革命:车联网来了
5G和4G网络的差距在哪里?
行程开关工作原理
前几天,公司hr在群里发来了一条消息,说收到一封非常可疑的简历邮件。
不枉公司三令五申的信息安全意识培养,咱们的hr小姐姐能有这样的敏锐意识,得给她点个赞!
最近部门确实在进行人员招聘,也进行了大量的招聘宣传,每天都要收到不少的简历邮件,但这封邮件却透露着些许古怪。
邮件的正文没有任何信息,只有一个附件:简历.pdf
首先,咱们正常人投个简历,怎么着也会在正文中简单介绍一下自己吧?谁会像这样直接留白呢?
其次,附件简历的文件名一般都会包含职位、名字等信息吧?就像小l-安全研发工程师-个人简历.pdf,谁会直接就叫“简历”啊?
沙箱分析
拿到这个pdf文件,别急着打开,弄到虚拟机沙箱中,看一下这货能不能现出原形。
pdf文件打开一切看起来正常,确实像是一封真实的简历,就连应聘人的需求都是匹配的,但查证后发现,其中的联系方式全都是虚构的,简历内容基本是网络找来东拼西凑+虚构伪造出来的。
再来看一下样本的行为分析,看看有没有什么可疑的行为。
我嘞个去!不看不知道,这家伙居然释放了一个程序出来到临时文件夹,然后把它给执行了起来!
去临时文件夹中试图找到这个文件,结果发现文件没了:
看来这家伙有点能耐啊!
临时写了个脚本,在虚拟机后台运行,不断检测备份临时文件夹下的文件。
再一次跑了一下样本文件,总算把这个释放出来的exe给逮住了。
逆向分析
接下来送它进反汇编神器ida,扒掉这家伙的底裤。
打开一看,好家伙,我直呼好家伙!也不加个壳啥的,直接裸奔,连基本的指令优化都没开,这还不给我扒个底朝天。
很快,我发现了一个有意思的地方:
这货在遍历文件目录,像是在搜索什么东西。
找到文件过滤的地方,这里是一个数组,在遍历寻找数组中的内容。
接下来,看一下过滤的字符串,高能来了!!!
居然在找简历、offer、工程师关键字的文件!!!
这是什么骚操作?
后面还有一段逻辑,是检测文件的md5,防止把自己人“简历.pdf”当做了目标。
拿到文件后呢,接着追溯起来,代码找起来太慢了,还是放沙箱里面抓行为吧。
把这个exe再一次送进沙箱分析,来看一下网络请求。
遗憾的是,并没有发现有网络请求,猜测是没有拿到目标文件所以没有传送?
于是我又构造了一个假的java研发工程师.pdf文件,来钓钓鱼。
再来一次,果不其然,鱼儿上钩了,这一次抓到了一个网络请求:
一个神秘的域名dns解析!限于沙箱的隔离环境,这个请求实际上并没有成功,所以也就没有后续对这个域名的请求了。
遗憾的是,这个域名现在已经关闭了,没法访问,难道是别人先一步发现了吗?
复盘
案情的全貌浮出了水面:
hr的邮箱收到了一个藏有木马的《简历.pdf》文件,文件打开后会释放并执行一个木马程序xxx.exe(随机名)。
接着木马会遍历磁盘目录,寻找文件名中包含简历、offer、工程师三个关键字的文件。
拿到文件后,会通过网络请求将拿到的文件发送出去!
究竟是谁会做这样的事?细思恐极!
原文标题:年轻人不讲武德,居然在简历中藏木马
文章出处:【微信公众号:数据分析与开发】欢迎添加关注!文章转载请注明出处。
华为高管回应用户在飞机上用Mate 60 Pro打卫星电话:是违规行为
如何为互阻抗放大器电路选择运算放大器
苹果台式机好吗?更好的在即将出现,库克确认不放弃桌面级Mac
科大讯飞营业利润来源到底在哪里?业绩变脸利润不足5亿
“T”动力标杆发动机解析
简历中居然藏有木马 细思恐极
超级电容漏电流测试仪AT680A的性能及应用
新能源与可再生能源势必加快进入能源体系主流
摩尔定律下,真的有厂商实现了突破吗?
用于6.6kW EV/PHV车载充电器的继电器
AI算力调度平台,大模型时代云计算的新生意
中国联通对5G赋能智慧冬奥提出了三大场景和十大应用
单片机基础知识:动手搭建自己的第一个单片机实验板
污水流量计的选型_污水流量计安装规范
智能天线在3G系统中的应用简介
华为mate9上市价格,万元手机惊艳亮相 号称手机中的保时捷
区块链在工业大数据智慧云链中的解决方案
智能手机最大革命:车联网来了
5G和4G网络的差距在哪里?
行程开关工作原理