行业类网站模板网站开发工程师社交
技术分析 | 剖析一个利用FTP快捷方式与批处理混淆的钓鱼攻击
摘要
本文深入分析了一个颇具技巧性的钓鱼邮件样本。该样本通过压缩包分发,内含隐藏文件夹和一个经过精心构造的快捷方式,该快捷方式利用系统自带的ftp.exe执行一个高度混淆的批处理脚本,最终实现下载并执行Shellcode,从而建立与外联C&C服务器的连接。本文将从样本构成、脚本逐行解码、攻击链(Kill Chain)还原以及防御建议四个方面进行阐述。
一、 样本概览
- 载体形式: ZIP压缩包。
- 内容:
- 隐藏文件夹:用于存放恶意载荷(
.doc文件),此举增加了用户的警惕难度。 - 恶意快捷方式 (.lnk): 这是整个攻击的初始执行入口。
- 隐藏文件夹:用于存放恶意载荷(
- Hashes:
- SHA1:
5A735BD3402052CB80124CB855503E7DEF6AD696(可用于威胁情报查询)
- SHA1:
二、 攻击链深度剖析
阶段一:初始访问与执行(Initial Access & Execution)
恶意快捷方式的属性中,目标被设置为:
C:\Windows\System32\ftp.exe -s"":_/_/_/_/_/_/_/_/_
- 技术点:
-s:filename: 这是ftp.exe的参数,指示其从指定的文件中读取并执行FTP命令。- 混淆路径:
_/_/_/_/_/_/_/_/_实际上指向了压缩包内隐藏文件夹中的某个脚本文件(如script.txt)。这里的_和/很可能是为了绕过简单的字符串匹配检测。ftp.exe会尝试将此路径解析为脚本文件并执行。
阶段二:载荷投放与部署(Payload Deployment)
ftp.exe执行的脚本是一个经过混淆的Windows批处理文件,其核心功能如下:
-
文件操作与拼接:
copy /Y /b fileA+fileB outputFile: 这是整个脚本的核心技术。/b参数表示以二进制模式进行文件合并。攻击者将恶意载荷分片存储在多个看似无害的.doc文件中(如header.doc,sc.doc,WindowsSecurity.doc),然后在受害者机器上通过批处理将其重新拼接成可执行文件。- 动态命名: 使用
%TIME:~4,1%和%RANDOM%等环境变量来生成动态的文件名和内容,增加了行为的随机性,极大地干扰了基于静态 hash 或固定路径的安全检测。
-
载荷解密与执行:
- 脚本最终会拼接出两个关键文件:
C:\Users\Public\Update\%TIME:~3,1%.exe(由header+WindowsSecurity.doc拼接)C:\Users\Public\Update\360.%TIME:~4,1%(由header+shell32拼接)
- 通过命令行执行第一个exe文件,并传递参数:
-InstallLsp C:\Users\Public\Update\360.2-InstallLsp: 参数名暗示其功能与分层服务提供商(LSP) 有关,这是一种用于监控或劫持网络流量的技术,常被恶意软件用于实现网络代理、窃取数据等功能。- 分析表明,该可执行文件的作用是解密
360.2文件(即之前拼接的第二个文件),解密出的内容是一段Shellcode。
- 脚本最终会拼接出两个关键文件:
-
持久化尝试(Persistence):
- 脚本包含一个条件判断语句:如果
C:\Users\Public\WinVer.dll不存在,则通过合并新的.doc文件创建它,并使用regsvr32 /s(静默模式)注册此DLL。 - 技术点:
regsvr32是系统合法工具,被广泛用于“Living off the Land”攻击。恶意DLL一旦被注册,即可实现持久化驻留。
- 脚本包含一个条件判断语句:如果
阶段三:命令与控制(Command & Control)
- 解密后的Shellcode最终目的是外联到恶意IP地址的特定端口,试图与攻击者的命令与控制(C&C)服务器建立通信通道,等待后续指令(如:下载更多恶意软件、窃取数据等)。
- 在本案例中,分析人员发现C&C服务器IP端口已关闭,因此攻击未能最终完成,但这并不降低该样本本身的危险性。
三、 技术总结与IoC
攻击链全景图:
恶意快捷方式 → 利用ftp.exe执行脚本 → 批处理拼接分片文件 → 生成EXE并解密Shellcode → 外联C&C
主要规避技术(MITRE ATT&CK框架映射):
- T1204.002: 用户执行(通过诱使用户点击快捷方式)
- T1047: 利用Windows管理工具(
ftp.exe,regsvr32.exe)进行攻击 - T1027: 对文件或信息进行混淆(路径混淆、环境变量动态命名、文件分片拼接)
- T1218.010: 通过Regsvr32系统工具代理执行
Indicators of Compromise (IoC):
| 类型 | 值 | 说明 |
|---|---|---|
| SHA1 | 5A735BD3402052CB80124CB855503E7DEF6AD696 | 样本压缩包哈希 |
| 文件路径 | C:\Users\Public\Update\ | 恶意文件存放目录 |
| 可疑进程 | ftp.exe -s"":_/_/_/_/_/_/_/_/_ | 父进程为explorer.exe的异常ftp命令行 |
| 技术 | 批处理使用copy /b合并文件 | 高危行为特征 |
四、 防护建议
- 终端防护:
- 部署具备行为检测能力的EDR/NGAV产品。静态哈希检测极易被绕过,但行为分析可以捕捉到
ftp.exe执行脚本、批处理进行大量文件拼接、异常注册DLL等恶意行为序列。
- 部署具备行为检测能力的EDR/NGAV产品。静态哈希检测极易被绕过,但行为分析可以捕捉到
- 用户教育:
- 培训用户不要打开来源不明的压缩包,尤其要警惕隐藏文件夹和非可执行文件(如快捷方式)。
- 策略限制:
- 考虑在企业环境中通过AppLocker或软件限制策略(SRP)限制
ftp.exe、regsvr32.exe等系统工具从用户目录执行,仅允许有合法需求的管理员使用。
- 考虑在企业环境中通过AppLocker或软件限制策略(SRP)限制
- 威胁情报:
- 将提供的IoC纳入监控体系,用于检测和回溯是否有其他设备受影响。
版权声明:本文分析基于公开技术资料,仅供安全研究人员交流学习之用,请勿用于非法用途。