本文对某单位木马投递事件进行分析。自今年7月以来，安田CERT已经检测到大量发送偷表格木马的钓鱼电子邮件。FormBook是一种非常活跃的商业窃取木马。此次捕获的木马可以窃取多种信息，使用数十台C2服务器作为替代，具有一定的对抗检测、对抗分析和溯源能力。安田智嘉可以实现对这种窃密木马的查杀和有效防护。

1.概述今年7月以来，安田CERT检测到多起散布网络投递窃密木马的钓鱼邮件活动，诱导目标执行附件中FormBook的窃密木马，实施了窃密活动。其中，一封发送给某公司的钓鱼邮件被抓获。FormBook是一种非常活跃的窃取商业秘密的木马，从2016年开始在黑客论坛以“恶意软件即服务”的形式出售，版本不断迭代更新。目前找到的最新版本是4.1，这次监测到的版本是3.2。表单主要用于窃取目标的个人信息。窃密木马可以自动收集目标系统的浏览器、邮件客户端、即时通讯客户端、FTP客户端中的敏感信息，并具有键盘记录、屏幕采集等功能。同时具备远程控制能力，包括更新、发布恶意软件、命令执行、数据返回等功能，实现对目标系统的长期驻留控制。这次发现的FormBook的变种是用C#编写的loader加载的，其核心函数在运行前有多层解密执行和进程注入操作。同时检测虚拟机和沙盒环境，使用数十台C2服务器作为替代，具有一定的对抗检测、对抗分析和溯源能力。经验证，安田智佳的终端防御系统(简称IEP)能够实现对该窃密木马的查杀和有效防护。

2.事件对应的ATTCK映射图2.1事件对应的ATTCK映射图攻击者针对目标系统发起FormBook木马，整理出本次攻击对应的ATTCK映射图如下图所示。

图2-1事件对应的ATTCK映射图

攻击者使用的技术要点如下表所示：

表2-1事件对应的攻击技术行为描述

3.网络钓鱼邮件分析。攻击者将钓鱼邮件放在目标上，诱导用户解压邮件附件，执行窃密木马。窃密木马执行后，会在目标系统中持久化，自动收集目标系统中浏览器、邮件客户端、即时通讯客户端、FTP客户端的敏感信息，然后连接C2服务器接收下发的控制指令，返回窃取的数据。攻击者利用钓鱼邮件向目标发送窃密木马，收件人的邮箱地址是某单位的公开联系邮箱。攻击者将带有FormBook窃密木马的压缩包以钓鱼邮件的形式放入，利用购买、付款收据等信息诱导目标解压并运行窃密木马，实现窃密和控制功能。

3.1邮件信息

图3-1网络钓鱼邮件的内容

邮件的内容是：

您好，请查看附件swift副本(用于确认电子支付的副本)。当付款完成时，我期待你的答复。Salute，销售主管邮政信箱：81432迪拜——阿拉伯联合酋长国.

3.2伪造发件人的分析。攻击者伪装成NPF管道贸易公司(L.L.C)(一家位于迪拜的油田设备供应商，主要经营管道材料和相应配件，并为石油、天然气、石化和建筑企业提供服务)的销售主管，要求收件人打开附件以完成交易。邮件底部的联系电话、传真、网址是供应商的真实信息，但邮件地址是攻击者的地址。攻击者使用“@npfpip”作为供应商的工作邮箱，投递到某单位的钓鱼邮箱。

图3-2 NPF管道贸易公司信息

通过对邮件信息的分析，发现发件人相关邮件服务器的IP地址是103.232.55.10(越南河内)，而真正的供应商服务器的IP地址属于th

4.1企业防护(1)安装终端防护：安装杀毒软件。建议安装抗原智加终端防御系统；(2)加强密码强度：避免使用弱密码。建议使用16位或更长的密码，包括大小写字母、数字和符号的组合，避免多台服务器使用同一密码；(3)部署入侵检测系统(IDS):部署流量监控软件或设备，便于恶意代码的发现和追踪。PTD以网络流量为检测分析对象，能够准确检测出大量已知的恶意代码和网络攻击，有效发现网络上的可疑行为、资产和各种未知威胁。(4)安田服务：如果被恶意软件攻击，建议及时隔离被攻击主机，保护好现场等待安全工程师检查电脑；7*24小时服务热线：400-840-9234。

4.2邮件传输防护(1)接收邮件时，确认发送来源是否可靠，避免打开可疑邮件中的网址和附件；(2)建议使用沙盒环境执行可疑文件，在确保安全的情况下再使用主机执行。PTA威胁分析系统(PTA)采用深度静态分析和沙盒动态加载相结合的机制，可以有效地检测、分析和识别各种已知和未知威胁。经验证，安田智佳的终端防御系统能够实现对窃密木马的查杀和有效防护。

图4-1有效保护抗原之家

5.样品分析5.1样品标签

表5-1样本标签

5.2用C#编写的loader在多层有效载荷解密递进执行样本之外使用，将恶意代码隐藏在大量正常代码中，避免被检测。样本加载器运行后，它解密并加载第二层有效负载，并调用其核心函数。

图5-1加载第二层载荷

从资源中解密第二层有效载荷，得到第三层有效载荷，在入口执行。

图5-2解密并执行第3层有效负载

再次解密第三层负载以获得第四层负载，并且创建新的进程。第四层负载通过进程挖空注入到新进程中，第四层负载是最终的负载。

图5-3创建流程并将负载注入其中

5.3防御规避的最终有效载荷执行后，会初始化一个内存区，包括ntdll基址、LdrLoadDll函数地址、反分析校验结果标识、加密函数hash等。执行过程中的大部分静态数据都来源于此。

图5-4动态生成内存区域

读取自身的模块链表，利用CRC32-bzip2算法依次检查模块名称，从而找到ntdll.dll并在内存中创建ntdll.dll的副本，避开一些API检测软件的检测。

图5-5创建ntdll的副本

分析环境，包括进程、模块、常用沙盒用户名、文件等。

表5-2测试和分析环境列表

通过样本进程名的哈希值找到explorer.exe进程，获取进程句柄并分配内存，将自身注入进程。

图5-6找到浏览器进程并注入它

注入的程序执行后，会再次注入随机选择的系统程序，使用不同的点入口。由explorer.exe创建的过程与原始样本过程没有层级关系。

图5-7第二次注射的过程

系统进程执行后，使用cmd.exe/c德尔命令删除原始文件。

图5-8执行自我删除

5.4数据窃取循环查找并劫持下面列表中的进程，窃取进程数据，包括键盘记录、账号密码等。

表5-3目标流程列表

5.5数据返回构建数据包并返回数据。

图5-9构建数据包

示例中配置了多台C2服务器，随机选取并拼接成“域名/pba2/”格式进行连接。

表5-4已配置的C2服务器列表

5.6远程控制示例还支持接受C2命令来执行进一步的攻击。

图5-10执行C2命令

表5-5指令列表

6.总结窃取商业秘密木马异常活跃，早已形成成熟的黑色产业链。技术方面，商业秘密窃取木马在反沙盒、反虚拟机反检测、反溯源等方面为用户做足了反技术；运营方面，采用“恶意软件即服务”的运营模式；在木马管理方面，为买家提供了易于操作的后台管理界面。通过以上服务手段，大大降低了攻击者的技术门槛，造成了窃密木马泛滥的局面。Ann CERT将持续关注此类恶意软件的发展，并向公众提供相关防护建议。