样本分析
投递手法
通过钓鱼邮件投递以IT从业者简历为主题的可执行文件,该文件通过长文件名+WORD图标的方式,伪装为文档诱骗收件人下载打开。流程图如下:
样本详细分析
该Delphi可执行文件运行后会通过窗体TForm1类中设置的3个按钮控件和4个计时器控件的响应事件,执行对应功能,如截图,下载文件,执行Shell代码等:
执行Timer后根据执行结果,杀死以及设置/新建Timer控制逻辑,下文不再赘述:
Time1释放掩饰文档
首先被执行的是Time1,用来释放掩饰文档以及进入Button2控件的响应事件。
从资源段中加载资源“Resource_1”后,将其释放在本地%TEMP%目录下“cv AYA ALI 888.docx”中:
调用“ShellExecute”打开掩饰文档欺骗收件人:
掩饰文档如下,具体信息将在溯源中展开:
接着进入Button2控件的响应事件。
Button2发送信息
Button2控件的响应事件用来获取计算机信息并将数据Base64编码后发送给远程服务器。
首先调用“GetVersionExW”获取获取系统版本信息,根据系统版本的不同选择不同的路径保存生成的计算机标识:
系统版本 | 计算机标识保存目录 |
---|---|
Windows XP | C:\Documents and Settings%Username%\Application Data |
其他Windows版本 | %ProgramData% |
生成的10位长度字符串作为计算机标识(以下简称为“ID”),写入到文件“GUID.bin”中:
将获取到的计算机名和用户名,与ID拼凑生成计算机标识字符串后进程Base64编码处理: