一封伪造电子发票的邮件攻击事件分析

已于 2024-01-10 18:41:39 修改
阅读量1k 收藏
点赞数
文章标签: 智能手机 网络 运维
于 2023-08-28 12:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xnxqwzy/article/details/132517839
版权

一、事件简述

4月6日,收到一份邮件,来自名为:云发票
info@kiidger.cn的邮件,主题为:***账户支取发票,邮件内容称寄来开具的充值电子发票,具体内容如下:

尊敬的用户*** 你好

您于2023年4月6日开具的充值电子发票,票据信息如下:

開票日期: 2023年4月6日 發票金额:150.00 ¥

发票代碼:1440110

發票号碼: 020942845994

发票明细

看文件内容很奇怪,繁体和简体字混淆应用。

查看“发票明细”的链接,地址为:http://swqe.sbs/home.html,访问后显示内容为一张电子发票图片,并且提示要windows下载查看:

1680785702_642ec1268c00e24de2d1e.png!small?1680785641685

点击下载后再次弹出是否确认要下载该文件,如下图:

1680785784_642ec17896198b2825616.png!small?1680785723927

下载后,打开该ZIP文件,发现是一个名为1.EXE的可执行文件,文件大小为20K。

1680785941_642ec2154a0531f58fcff.png!small?1680785880402

1.exe的文件属性基本都是空的,可以看到修改日期为:2023年4月5日 13:51,感觉像是刚编译生成并发动攻击的。

1680786057_642ec28989b76d6c4dcf8.png!small?1680785996616

二、EXE可执行文件分析

该EXE很简单的功能,就是直接去下载dll文件并加载运行。

首先可以看到,进行字符串分割,将URLDownladToFileA字符串分割成“UR"+”LDownloadToFileA“。

1680786783_642ec55fb5fe9a74da1a7.png!small?1680786723209

访问的域名是:http://img.cloudservicesdevc.tk/picturess/2023/

域名所在的IP地址指向美国:

1680787032_642ec65879849617e70bf.png!small?1680786971708

直接访问域名,返回界面如下:

1680787223_642ec71742854c4b102eb.png!small?1680787162440

随便测试URL下面的文件,比如aa.txt,发现会提示:”未找到,法海不懂爱,页面出不来“,哈哈哈。

1680787418_642ec7da0dc689f865781.png!small?1680787357269

首先下载31.28.txt,发现返回的内容是一个外网IP地址:8.217.31.28,位于中国香港的阿里云服务器。

1680787886_642ec9aee11fac8736db8.png!small

接着,1.exe下载访问该域名下的LiveUpdate.exe,发现可以下载,下载471K的PE文件

1680787591_642ec8874943ca1769499.png!small?1680787530349

实际运行中,会下载保存至: c:/%programdata%/Thunder/LiveUpdate.exe。

跟着,访问该域名下的media.xml,发现返回的界面如下:

1680787308_642ec76c1c8b9dc734d89.png!small

但是,实际1.exe运行,会成功下载一个文件,保存至:
c:/%programdata%/Thunder/Media.xml,打开该文件查看,可以看到该文件应该是一个PE文件,不过PE头经过了处理。

1680791338_642ed72abbf806c079b0a.png!small?1680791277877

接着,访问该域名下的LiveUpdate360.dat文件,下载成功:

1680788689_642eccd17dc2a876cafe5.png!small?1680788628815

接着,访问该域名下的SqlVersion9.dll, 下载并保存为本地的Setup.dll成功,大小1.6M的PE文件。

1680788760_642ecd1804025f3b27e07.png!small?1680788699077

继续测试下载setting.ini,可以下载

1680787655_642ec8c7a3342a3c45ace.png!small?1680787594756

setting.ini里面的内容就是一个本机IP地址:127.0.0.1。

其中:
下载保存的目录为:c:/%programdata%下,setting.ini和Setup.dll。Thunder目录下则保存的是LiveUpdate.exe和LiveUpdate.dat文件,具体如下图所示:

1680789931_642ed1abddc00d47a4c48.png!small?1680789871416

下载完成后,1.exe调用执行SETUP.DLL,如下图所示

1680792180_642eda740b61cfe4ac28e.png!small

1680792033_642ed9e1c35cd57a7aedd.png!small?1680791972923

三、恶意文件列表

相关的恶意文件和IP地址、域名如下:

文件名MD5 HASH
LiveUpdate.exe96e4b47a136910d6f588b40d872e7f9d
LiveUpdate.datf149d3f3ef0361ebe4d346811f29b527
Media.xml3f4ab3b172bd350f5de23e3cc9cda13a
Setup.dll9d861d5a82245aa4177fe952c5679d7a
1.EXE9e70dcca9d09ba47f36018e002927a04
域名IP地址
http://swqe.sbs/home.html43.154.192.213
http://img.cloudservicesdevc.tk/picturess/2023/104.21.24.228

|

http://swqe.sbs/home.html| 43.154.192.213
http://img.cloudservicesdevc.tk/picturess/2023/| 104.21.24.228

|

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-g62TeC5Z-1693067788565)(C:\Users\Administrator\Desktop\网络安全资料图\微信截图_20230201105953.png)]

程序员菠萝
关注
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
警惕“电子发票邮件,多家企业中招
互联网安全研究院
01-18 9839
2022年1月6日,研究人员发现针对中国企业的钓鱼邮件攻击,智能制造、高校、医疗、金融、贸易和科技等行业是被攻击的重点对象。 分析钓鱼网站攻击对象时发现,北京和香港是主要受攻击地区,其次是深圳、杭州、上海、青岛,有超过343家单位机构受害。根据对受害行业的统计,智能制造、高校、医疗、金融、贸易和科技等行业是被攻击的重点对象。 根据推算,截止到2022年1月6日约有13万个企业邮箱受害,并且受害者还在持续增加。 传播“电子发票邮件是此次钓鱼攻击的主要手段 案例: 钓鱼邮件以标题为“您收到来自上海萨
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 897
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
开发发邮件,outlook2016 收到邮件样式不对
bingVling的博客
11-13 3319
1.在邮件开发邮件发送的时候,可能会嵌套html标签,在主流的浏览器好foxmail显示是正确的,但是在outlook工具上显示不正常,刚开始的时候很好奇,为什么不对呢,经过测试 我们写的邮件的html是html5,outlook的兼容html2,意思不需要写那么骚气的html标签。 html5:   <div style="padding:1rem;">     <h4&g...
警惕邮件中的发票链接
互联网安全研究院
08-02 748
近期发现,有恶意链接利用发票主题为的钓鱼邮件进行攻击,诱导用户点击并索要账户密码,已有某国企单位中招。 7月初,某大型国有钢铁集团称遭到了钓鱼邮件攻击。此类钓鱼邮件攻击设计精度相比以前的攻击行为提升了很多,是有目的针对性的攻击事件本身对政企单位防范钓鱼欺诈攻击,具有一定参考意义。 具体事件: 据调查,攻击者在第一次攻击被防御系统拦截后,再次精心策划,通过伪造发信人,伪造快递公司邮箱,并对邮件内容进行了 " 升级 ",成功避开识别检测,再次发送主题为电子发票下载的钓鱼邮件。 这一次,攻击者成功发送后
邮件攻击案例系列二:冒充合作伙伴伪造发票商务邮件诈骗
sdexcel的专栏
07-27 489
本系列主要介绍邮件攻击的常见手法
我是程序猿:Windows能被感染?最常见的恶意电子邮件附件
C语言C++学习俱乐部:765860056
10-21 1723
引语:为了确保网络安全,每个人都需要识别出那些经常被用来传播恶意软件的仿冒电子邮件附件。 为确保网络安全,每个人都需要识别出那些经常被用来传播恶意软件的钓鱼电子邮件附件。 在恶意软件传播的过程中,攻击者会将垃圾邮件伪装为发票、邀请、支付信息、交通信息、电子邮件、语音邮件等等。在打开或启用了宏之后,这些电子邮件中包含恶意的 Word和 Excel附件或链接,这些附件将在计算机上安装恶意软件。 但 Office要求您在执行 Word或 Excel中的宏之前,先点击“启用编辑”或“启用内容”按..
【钓鱼邮件!】一枚合格的鱼饵是什么味道【下】钓鱼文案以及钓鱼迹象
tamchikit的博客
02-28 2172
钓鱼文案以及钓鱼迹象
【渝粤题库】陕西师范大学164113 电子支付 作业(专升本)
渝粤题库
11-20 3016
电子支付》作业 一、单选题 银行电子化进程于( )中期的应用计算机开始。 A. 20世纪80年代 B.20世纪70年代 C.20世纪50年代 D.20世纪60年代 ATM授权方式识别持卡者,采用的方式是( )。 A.个人标识码 B.对照签名 C.用户密码 D.个人身份证 3.国内第一家金融证券网站,同时又是我国最大的金融互联网基础设施提供商的是( )。 A.中国证券网 B.盛润证券2000网站 C.和讯网
盘点近年来的各国各行较知名的互联网安全事件
热门推荐
chengzengchi4787的博客
06-14 2万+
Manual 盘点近年来的各国各行较知名的数据泄露、供应链污染事件 数据泄露 2019 6月 中国猎头公司 FMC Consulting 配置错误的ElasticSearch集群造成数据泄露(据文章称涉事公司收到报告毫无反应,直到CNCERT出面才下线数据) 泄露内容:数百万份简历和公司记...
[系统安全] 五十二.DataCon竞赛 (1)2020年Coremail钓鱼邮件识别及分类详解
杨秀璋的专栏
08-10 3567
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍如何构建深度学习模型实现恶意软件家族分类,这是安全领域典型的任务或工作。这篇文章是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春,且看且珍惜!
出海电商新怎样用海外云手机引流?
最新发布
TIANGEKUAJING的博客
10-12 392
随着互联网行业的迅猛发展,出海电商、海外社交媒体营销以及游戏产业等领域对技术工具的需求不断增加。在这种趋势下,海外云手机作为一种新型解决方案,正在受到广泛关注。
云手机哪款好用?2024年云手机推荐对比指南
TIANGEKUAJING的博客
10-08 844
随着云手机市场的快速扩展,消费者在选择云手机时面临着众多选择。为了帮助大家找到最适合自己的云手机,小编特意整理了一份当前市场上几款备受关注的云手机品牌对比,大家一起往下看吧。
手机解锁如何工作?解锁手机的顶级应用程序
GEEKVIP的博客
10-08 1202
解锁手机软件是指用于解锁特定运营商或网络的手机的计算机程序或工具,使其能够与其他运营商一起使用或在国际上使用。 当个人想要切换到不同的网络提供商或在国外旅行时使用其设备时,通常会使用此软件。以下是解锁手机软件的概述:需要注意的是,解锁手机软件的具体特性和功能可能会因软件提供商和要解锁的设备型号而异。
手机在网状态接口的使用和注意事项
lupai的博客
10-11 602
是用于查询手机号码在运营商数据库中的实时状态的工具,这种接口在互联网金融、贷款、租赁、保险等相关行业中尤为重要,因为它可以帮助这些行业进行更有效的风控审核。综上所述,手机在网状态接口在多个领域都有着广泛的应用价值。构造HTTP请求:根据接口服务商提供的API文档,构造HTTP请求,并携带必要的参数(如API Key、手机号码等)。选择正规接口服务商:为了确保查询结果的准确性和可靠性,应选择正规授权的手机在网状态接口服务商。保护用户隐私:在查询手机号码在网状态时,应遵守相关法律法规,确保用户隐私的安全。
黑龙江等保测评详细指南
weixin_62641226的博客
10-08 560
黑龙江等保测评是保障信息系统安全的重要环节,通过科学的测评流程和专业的评估机构,帮助企业识别和应对安全风险。等保(信息安全等级保护)是指根据信息系统的重要性和安全需求,对其进行分级保护的制度。费用因测评机构、系统复杂性和测评等级而异,建议咨询具体测评机构获取报价。2. 风险管理:通过测评,识别系统中的安全风险,制定相应的防护措施。测评报告:测评机构出具正式的测评报告,包含评估结果和整改建议。选择测评机构:选择具有资质的第三方测评机构进行正式测评。整改落实:根据测评报告中的建议,进行系统的整改和优化。
IP数据包
permit7的博客
10-11 1009
ARP协议是地址解析协议(Address Resolution Protocol)是通过解析IP地址得到MAC地址的,是一个在网络协议包中极其重要的网络传输协议,它与网卡有着极其密切的关系,在TCP/IP分层结构中,把ARP划分为网络层。
2024年网络安全进阶学习路径-2024年进阶学习指南
2401_85026965的博客
10-10 2048
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值