一、事件背景
4月7日,收到不明的邮件,主题为:紧急产品询价,附带一个名为:List of Items Inquiry
_RFQ.doc的附件,意思为“项目查询清单”,具体内容如下表所示:
From: “Jennifer Anderson (USA General Trading
INC)”<ljupcoveleski@jsp.com.mk>
Date: Fri, Apr 7, 2023, 13:09
Subject: Re: Urgent Product Inquiry/RFQ!
To: <xxx@xxxxx.com.cn>
For your informaion:
Please Give us the quotation for the following
1. Item - 298 pcs.
2. Items - 167 pcs.
3. Items - 377 pcs.
Please view the attached Listed items and quote according to how items are
listed.
Note: item no 1 and 3 in the attached are very important and urgent Kindly get
back to me as soon as possible.
Regards
Mrs Jennifer Anderson
Senior Procurement Manager
USA General Trading INC
10101 Southwest Freeway
Houston, Texas, 77074
United States
info@usagtrading.com
www.usatrading.com
一看邮件,就是常用的邮件攻击套路,打着产品询价的噱头进行邮件欺骗攻击。
打开文档头,发现实际上是一个RTF格式文档:
接下来我们看看这个文档利用的漏洞的情况。
二、文档初步分析
下载附件后,本地打开,发现一直在进行网络访问,如下图所示:
连续点击多次取消后,打开request.doc_object_00000e17.bin的内容,如下图所示:
通过进程监控,发现word文档打开的时候,会启动EQNEDT32.EXE进程,并且EQNEDT32.EXE进程会进行网络访问,初步判断是一个典型的CVE-2017-11882的漏洞利用攻击,具体如下图所示:
访问的域名是:storm.uhostmk3.com和arhitektondizajn.com,其实两个域名指向的是同一个IP144.76.112.239,来自德国,解析如下:
首先,访问下载http://arhitektondizajn.com/new/vin.txt,
下载成功后,发现其实它是一个PE文件,大小竟然长达6.94M,这么大的恶意文件真不常见。
将后缀名直接修改为.EXE,发现该EXE是一个伪造成:Firefox应用程序的恶意文件,PE属性如下:
实际下载的保存位置在:%appdata%目录下90686.exe,其中Pjlkwqgmi文件夹下生成一个名为:Jqmbfry.exe的文件,两个EXE文件的大小和vin.txt一样,如下图所示:
接下来,还下载访问下载http://arhitektondizajn.com/new/Rdbgcgq.png,文件大小为:1753088
猜测是base64编码的文件,windows下直接利用certutil命令进行解码。
命令参考如下:
certutil -f -decode aa.txt bb.txt //将aa.txt文件base64解码,结果为:bb.txt
于是base64解码后,发现文件开头如下:
在拉到文件尾,发现其实是一个PE文件的倒序,啊哈哈。
三、恶意文件和URL汇总
本次邮件攻击涉及的文件和域名如下:
| 文件名 | MD5 HASH |
|---|---|
| Rdbgcgq.png | 0edfd2e117d4a60aadc444695cebdb88 |
vin.txt
90686.exe
Jqmbfry.exe
| 2028b955af8328178675c6d2db4a380a
Rdbgcgq.png base64解码后文件| 44135e84ea3d013235bcf7be6bd09292
|
域名如下:
storm.uhostmk3.com
arhitektondizajn.com
144.76.112.239
http://arhitektondizajn.com/new/vin.txt
http://arhitektondizajn.com/new/Rdbgcgq.png
CVE-2017-11882漏洞由于稳定、效果好等特点,真的是经久不衰的好用漏洞,经历了快6年了还是攻击常见武器,由此可见,NDAY漏洞的危害还是极大的。
还是要切记:及时更新补丁,不打开来历不明文档,要谨慎小心。
.com/new/Rdbgcgq.png>
CVE-2017-11882漏洞由于稳定、效果好等特点,真的是经久不衰的好用漏洞,经历了快6年了还是攻击常见武器,由此可见,NDAY漏洞的危害还是极大的。
还是要切记:及时更新补丁,不打开来历不明文档,要谨慎小心。
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
