0x1 概况

7月份腾讯御见威胁情报中心在日常监测网络攻击行为时，发现了多起针对钢铁行业的邮件钓鱼攻击，黑客在攻击中大量使用钢铁行业相关的诱饵文档，比如销售合同、商品价位表、规格书及图片等等。这些诱饵文档实际上为CVE-2017-11882漏洞文档。

一旦运行这些诱饵文档，用户电脑会自动触发CVE-2017-11882漏洞，进而下载病毒文件。据统计，整个7月份网络上类似的邮件钓鱼高达10万余次，借此传播的远控木马类型多达10余种，包括RemcosRAT、NetWire、AgentTesla、LokiBot、HawkEye、Formbook等等。

这些远控木马不仅会窃取用户的敏感信息，包括键盘记录、窃取邮箱帐号密码和几乎所有浏览器记录的网站帐号密码等，同时还支持多平台远程控制，根据黑客下发的指令下载和执行恶意程序，控制受害者电脑，使之成为僵尸网络的组成部分。

受害用户主要是钢铁行业的海外业务拓展人员。出于业务拓展需要，不少用户习惯将联系邮箱等信息挂到各大社区网站或论坛。而黑客利用爬虫程序能够轻易收集到这些邮箱信息，并加以利用。

本轮钓鱼攻击的其中一例钓鱼邮件，是以“China Steel Offer”为主题，附件中带有名为“China Steel Pricelist.doc”的CVE-2017-11882 漏洞文档。漏洞文档被打开后，会从“uploadtops.is”下载和执行NetWire远控木马，从而使受害者沦为受黑客控制的“肉鸡”。以下为具体分析：

（钓鱼邮件内容及翻译结果）

（漏洞文档中的内容）

0x2 技术分析

下载下来的样本为vb语言编写，vb程序中有一段加密的shellcode.

（vb程序入口点）

Shellcode会解密出一个pe，然后内存加载和执行此pe文件

（内存中的pe文件）

Dum出的pe中字符串信息如下，字符串明显被加密了。

（加密的字符串信息）

（解密后的部分明文字符串）

木马的配置信息都被加密存储了，解密后可以看到木马的c2地址。

（解密后的c2）

木马会调用RegisterRawInputDevices、GetRawInputData等api来实现键盘记录器的功能，收集硬盘信息等也是此木马的功能之一。

（键盘记录器代码）

（收集磁盘信息）

通过查阅此木马的用户使用手册可知该木马不仅支持windows平台，还支持Linux、Solaris、Mac OS等平台，通过此木马的生成器还能生成java或apk版的木马。木马主要功能有文件管理、系统管理、窃取存取在计算机上的密码、键盘记录、屏幕截取、远程shell、下载、反向代理等功能。

（NetWire用户手册）

该木马可以窃取Mozilla Firefox所有版本、Internet Explorer所有版本、Opera所有版本、Chrominum所有版本、SeaMonkey所有版本的网页浏览器中存储的密码，还可以窃取邮箱软件Mozilla Thunderbird和Outlook中存储的密码，也支持获取聊天工具Winds Live Messenger 和Pidgin的密码。