一篇读懂邮件木马(邮件木马制作)

近期，火绒工程师发现针对国内企业投放病毒的威胁事件，经排查分析后，确认为后门病毒，主要通过钓鱼邮件进行传播，其会伪装成Word文档来诱导用户打开

 

近期，火绒工程师发现针对国内企业投放病毒的威胁事件，经排查分析后，确认为后门病毒，主要通过钓鱼邮件进行传播，其会伪装成Word文档来诱导用户打开。

伪装成Word文档的病毒样本当用户被诱导点击运行病毒后，黑客可通过C&C服务器下发各类指令来执行各种恶意功能，如：恶意代码注入、利用开机自启来进行持久化操作、获取系统进程信息等恶意功能不仅如此，该病毒还会使用多种手段（控制流混淆、字符串混淆、API混淆）来躲避杀毒软件的查杀。

病毒的执行流程，如下图所示：

病毒执行流程对此，火绒安全提醒用户不要轻易点击来历不明的邮件附件，火绒安全产品可对该病毒进行拦截查杀。

查杀图一、样本分析混淆手段该病毒启动后会率先执行一段shellcode，相关代码，如下图所示：

执行shellcode在shellcode中使用多种手段来对抗杀毒软件的查杀，如：控制流混淆、字符串混淆、API混淆等。控制流混淆，如下所示：

控制流混淆字符串混淆，每个字符串使用时，动态进行解密，并且每个字符串都有单独的解密函数，不同字符串解密函数对比，如下图所示：

不同字符串解密函数对比API混淆，在shellcode中会将用到的API地址加密并保存，使用时动态解密出来，如下所示：

加密API地址使用API之前会动态进行解密，利用位运算特性，每次解密的方法不同，但是结果一致，如下图所示：

不同解密方式恶意行为获取本机的信息（用户名、计算机名、系统版本等）并发送给C&C服务器，如下图所示：

发送上线包黑客可通过C&C服务器下发命令来执行各种恶意功能如：执行任意CMD命令、下发任意恶意模块、进程注入、获取系统进程信息、持久化等恶意功能，以下进行分析启动进程，该功能常被用于执行CMD命令，可执行C&C服务器下发的任意的恶意命令，相关代码，如下图所示：。

启动进程该样本具备多种注入手段，一利用傀儡进程将恶意模块注入到其他进程中执行；二利用远程线程来在其他进程中执行恶意代码，傀儡进程注入，相关代码，如下图所示：

傀儡进程注入远程线程注入，相关代码，如下图所示：

远程线程注入获取系统进程信息，相关代码，如下图所示：

获取系统进程信息获取指定目录文件信息，相关代码，如下图所示：

遍历目录文件可通过添加服务来进行持久化，相关代码，如下图所示：

持久化二、附录C&C

HASH