0X01

接到客户通知，发现疑似一份钓鱼邮件，要求进行研判并且溯源。
邮件大概如下：

0X02

压缩包更改为EML之后打开文件，压缩包内容如下：

PS：此处的index.exe初始状态为index.sc，为了方便分析这里改掉了原始后缀。其中最主要的可执行文件为index.exe，作用是通过这个exe去拉起那个html文件。

刚好开始没明白意图是啥，众所周知，Windows系统下是可执行文件的PE头如下：

直接打开的话状态如下：

这里有个令我感到疑惑的地方，这里面的这个.sc文件是EXE格式的，但是在Windows GUI下面去点击 他是默认不会当作exe去执行的，只有console才会当作EXE去执行。
但是钓鱼吧，肯定需要GUI方式触发，这里又是这种写法。
猜测意图应该是还有其他东西把这个文件启动，要么就是搞错了。。

在这启动同目录下的indexrcs.html

但目录下面的html文件叫index， 这里实际启动的html文件名字和文件夹里的不符 。
感觉攻击者疏忽了。
并且微步 virustotal都是全绿，后补一张图：

反虚拟机做的也不错， 检测你temp目录下面的文件，少于多少个，就不执行了。
正常物理机temp目录下几百个文件有的，虚拟机相对干净一些。

整体行为就是打开同路径的index.html文件，是一个正常的扫描报告，然后通过创建新线程的方式执行shellcode，CS木马，C2地址：207.XXX.XXX.XXX。

0X03

拿到IP之后，就可以尝试进行溯源了，对该IP进行情报收集

比较幸运的是发现了一个历史解析是一个CN域名

通过查询whois信息获取到注册人的邮箱信息和个人姓名。

对该邮箱进行历史信息关联可以得到以下结果：
姓名：xx鑫
邮箱：*** 5@ qq.com
身份证号：440** ** **16
手机号：1768 ***113

那么该如何确定他是此IP是否为真实的攻击者呢？
如上面所述，可以查询IP段是哪个机房的机器，通过对IP的查询，获得了对应的服务商是vultr。
通过对vultr注册账号信息，得到结果:

即可以确认：该钓鱼邮件/恶意IP/域名/人 要素齐全 高强度关联。

同时利用情报获取到一封PDF文件。确定了该员工为某集团信息部员工。

感谢同事为我分析的病毒流程~~
END。

[课程]Linux pwn 探索篇！