[原创]钓鱼文件应急溯源：方法篇-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]钓鱼文件应急溯源：方法篇

发表于: 2023-9-25 13:22 9755

[原创]钓鱼文件应急溯源：方法篇

梦幻的彼岸

2023-9-25 13:22

9755

首发：https://www.sec-in.com

作者：梦幻的彼岸

如今，恶意软件分析已是信息安全领域的一个整体产业：

发布保护产品的反病毒引擎实验室，高度专业化的专家小组，甚至恶意软件编写者本身也参与其中，他们争夺一个潜在的客户--"受害者"。

静态恶意软件分析在不主动运行恶意软件代码的情况下查找可能损害系统的文件，使其成为暴露恶意库或打包文件的安全工具。静态恶意软件分析可以发现有关恶意软件性质的线索，例如文件名、哈希、IP 地址、域和文件头数据。可以使用各种工具（例如网络分析器）观察恶意软件。

动态恶意软件分析使用沙盒，沙盒是一个安全、隔离的虚拟环境，您可以在其中运行可疑的危险代码。安全专业人员可以密切监视沙箱中的恶意软件，而不必担心感染系统或网络的其余部分，从而使他们能够收集有关恶意软件的更多信息。

混合恶意软件分析结合了静态和动态技术。例如，如果恶意代码对计算机的内存进行更改，则动态分析可以检测到该活动。然后，静态分析可以准确确定进行了哪些更改。

官网：https://www.netlimiter.com/

可通过此工具监测程序的网络通讯信息，以方便进一步分析

官网：https://www.nirsoft.net/utils/cports.html

可通过此工具显示本地计算机上所有当前打开的TCP/IP和UDP端口的列表。对于列表中的每个端口，还显示打开该端口的进程的信息，包括进程名称、进程的完整路径、进程的版本信息（产品名称、文件描述等）、进程的创建时间以及创建该进程的用户。此外，CurrPorts允许你关闭不需要的TCP连接，杀死打开端口的进程，并将TCP/UDP端口信息保存到HTML文件、XML文件或以制表符分隔的文本文件中。

可通过此工具监测目标系统的DNS解析，可有效应用于对APT远控木马的检测。

官网：https://www.httpdebugger.com/

可通过此攻击http与https数据

官网：https://www.adlice.com/diffview/

可通过此工具追踪一个程序在你系统上所做的修改或一些操作进行监控

官网：https://www.huorong.cn/

可通过此工具在如下图所展示的角度分析程序运行后做了什么，以分析是否为恶意程序以及进行辅助分析工作

可通过此工具的HIPS与防火墙功能监测程序运行后做了什么，以进行分析

https://www.comodo.com/home/internet-security/free-internet-security.php

http://www.gda.wiki:9090/

https://frida.re/

通过GDA与Frida来分析APK是否存在恶意行为

https://x64dbg.com/

可通过此工具深入分析程序的执行情况以及运行原理

一个恶意软件分析思路图展示，如下图展示了三个编码级别

恶意软件作者：使用高级语言编写恶意程序

计算机：CPU识别代码进行执行

恶意软件分析人员：通过反编译手段进行分析

针对软件的网络信息常针对底层运行原理，通过拦截发布函数进行分析

WSPSend函数在一个连接的套接字上发送数据。

WSPSendTo函数使用重叠的I/O将数据发送到一个特定的目的地。

WSPRecv函数在一个套接字上接收数据。

WSPRecvFrom函数接收一个数据报并存储源地址。

打开Word 发现有下载连接

模拟恶意行为打开了计算器

该漏洞存在于MSHTML，即Internet Explorer的引擎。虽然现在很少有人使用IE（甚至微软也强烈建议改用其较新的浏览器Edge），但这个旧的浏览器仍然是现代操作系统的一个组成部分，而且其他一些程序也使用其引擎来处理网络内容。特别是，微软的Office应用程序，如Word和PowerPoint，都依赖它。

钓鱼邮件示例

自该漏洞发布以来，安全研究人员在Twitter上警告说，尽管微软Office的 “保护视图 ”功能会阻止该漏洞，但这是多么危险。当Office打开一个文档时，它会检查它是否被标记为 “网络标记”（MoTW），这意味着它来自于互联网。如果这个标签存在，微软将以只读模式打开文档，有效地阻止了该漏洞，除非用户点击 “启用编辑 ”按钮。

但历史表明，许多用户忽略了这一警告，还是点击了 "启用编辑 "按钮。

但还有有许多方法可以使文件不收到MoTW标志，从而有效地否定了这种防御。