近期，360安全大腦監測到有團伙針對海外貿易公司進行持續性的釣魚攻擊，經過深入分析發現此次釣魚行為包涵了多種深度隱蔽的手段（如漏洞、隱寫等等），多管齊下來保證自身釣魚成功率。此次釣魚攻擊在攻擊手法上也沿用了透過郵件、即時通訊工具，加上極具迷惑性的標題和吸引人的內容，一旦使用者點選開啟檔案，木馬將隱蔽地“安家落戶”。

不過廣大使用者不必擔心，360安全大腦已經及時查殺此次釣魚攻擊，避免廣大使用者的安全受到威脅。

1、發起攻擊

目前絕大多數的釣魚攻擊都需要透過有問題的檔案、掛馬的網站來實施攻擊，所以360在此告誡廣大使用者切勿開啟執行來源不明的檔案，訪問別人發來的網址前要核對網址是否可以信任。

此次釣魚自然也沒有逃出上述的範疇，依然選擇了透過郵件傳送攜帶漏洞的文件進行釣魚。該文件利用了漏洞CVE-2017-11882，此漏洞透過公式編輯器來執行命令列進行攻擊，大致流程如下圖所示。

下圖為360安全大腦所捕獲到眾多樣本中的一例，雙擊開啟DOC文件（Tracking Details & Percel Images.doc）之後其內部惡意程式碼會主動彈窗試圖欺騙使用者（圖一），表面上讓使用者以為是自身磁碟空間不足的問題，然而實際上已經開始在後臺透過命令列悄悄的下載執行惡意檔案（圖二）。

圖1：迷惑使用者的提示

圖2：後臺命令列下載執行惡意檔案

惡意MSI檔案執行後會釋放惡意檔案並新增開機啟動的計劃任務（圖三）

圖3：新增開機啟動的計劃任務

深入分析釋放出來的檔案發現其透過PNG隱寫技術將真正的模組隱藏在自身攜帶的圖片資源中，在執行時從圖片中動態提取出惡意模組，然後直接在記憶體中載入執行。

圖4：從PNG圖片中提取惡意模組

2、同類發現

在此之上，360安全大腦根據其特徵關聯發現了一些其他同類樣本，雖然檔案大小不盡相同，但是其核心功能都是透過隱寫PNG來隱藏真正的模組。 

圖5：嘗試欺騙安全人員的函式命名

圖6：其他同類樣本

透過dump在記憶體中的惡意模組，深入分析之後發現其首先做了多種躲避查殺的檢測：

（一）關閉windows defender實時防禦

（二）虛擬機器檢測

（三）檢測沙箱

3、最終載荷

在做完以上的各種檢測之後樣本終於露出獠牙，展開最終的行為——載入竊密軟體FORMBOOK，該軟體本身邏輯並不複雜，主要是以多重加密來對抗分析，過程中輔以動態修改程式碼、注入、重新Load自身等等手段增強對抗效果，最終透過HOOK API的方式竊取使用者的網頁輸入、剪下板內容等資訊。

3.1準備工作

該惡意軟體的準備階段主要是自己在記憶體中重新對映了一個Ntdll.dll，這樣可以使常規API斷點失效；緊接著就是一連串的環境檢測。

3.2第一次注入

準備工作完成之後，該惡意軟體首先向桌面注入ShellCode，然後等待ShellCode執行完畢。

ShellCode的功能是讓桌面程式建立一個掛起的子程式，然後將一系列引數共享給惡意模組程式碼，方便後續進行程式鏤空的操作。（值得注意的是每一次所建立的子程式是從預先準備好的列表中隨機選取的）。如下圖所示，惡意程式碼使用ShellCode共享出來的引數將自身完整複製到傀儡程式，完成金蟬脫殼。

3.3第二次注入

成功進入傀儡程式之後就會開始遍歷當前活動程式，如果程式名計算出來的雜湊值可以匹配上其預先準備好的程式名雜湊列表，就會緊接著向目標程式注入下一步工作的程式碼。

下圖為具體的注入行為。

3.4最終竊取資訊

進入最後的目標程式之後將根據不同的程式展開不同行為，但是容易知道其主要針對瀏覽器上的資訊收集，具體的竊取過程較為敏感，此處不多做展示。

下圖為惡意軟體最終獲得使用者所輸入的賬號密碼並即將傳送的狀態。

4、應對措施

根據360安全大腦觀測到的資料來看，近期釣魚攻擊的出現頻次有明顯上揚，廣大使用者近期應當格外警惕各種釣魚攻擊，對於收到的檔案和資訊一定要反覆確認來源是否可信再行處理，除此之外：

1、儘快前往weishi.360.cn，下載安裝360安全衛士，有效攔截各類病毒木馬病毒攻擊，保護電腦隱私及財產安全。

2、注重企業人員的安全操作培養，提升人員的安全意識，不要輕易開啟來路不明的郵件附件和連結，開啟文件前切記要仔細檢查文件來源和檔案格式。

3、建立內網安全策略，防止攻擊發生時危害的進一步擴大。

5、IOC