病毒概述

近日，天融信EDR团队捕获到Gorgon APT组织的恶意样本，其以“新冠病毒口罩”命名，诱导用户点击以实施攻击。该样本通过CVE-2017-11882漏洞调用VBS宏脚本执行PowerShell命令，从黑客服务器下载伪装成图片的恶意文件，之后释放DLL恶意程序注入器和窃密木马Agent Tesla，通过DLL将Agent Tesla注入到Regasm.exe进程中实现白加黑攻击，从而窃取剪贴板、邮件信息、FTP共享文件、按键信息以及浏览器中保存的用户密码，最后通过邮件将收集到的信息发送给黑客C2服务器完成窃密。

天融信EDR可精确检测并查杀该攻击样本，有效预防该病毒蔓延。

病毒分析

攻击样本调用WinExec函数执行嵌入在RTF中的VBS脚本指令。

通过VBS脚本执行PowerShell脚本命令。

执行PowerShell脚本连接黑客C2服务器www.m9c.net/uploads，下载伪装成图片的15882060891.jpg和15882060892.jpg文件。

执行15882060891.jpg文件，释放DLL注入器并加载到内存。

调用DLL恶意程序注入器，将窃密木马Agent Tesla注入到白进程Regasm.exe程序中实现白加黑攻击。

Agent Tesla窃密木马获取当前进程名和进程ID等信息。

调用nvq函数将kfr函数收集到的信息计算成一个唯一的Hash摘要。

收集计算机名和账户名，并将数据拼接。

创建后台线程。

创建第一个时钟线程，每5分钟触发一次。该线程通过时间差运算进行溢出检查。

调用kms函数对浏览器、FTP以及邮件的账户密码进行搜集。Kms函数将目标程序名称添加到List2容器中，针对不同的程序使用特定的方法获取账号密码，最后将获取到的账号密码信息存入List1容器中。

设置剪贴板监听器，监控被攻击者的剪贴板。

设置全局键盘钩子，记录被攻击者对不同进程输入的键盘信息，并将按键转换为对应字符串。

设置SMTP服务器，并将收集的账号密码信息以邮件形式发送到黑客邮箱。

防护建议

针对该窃密攻击，建议通过以下几种方式加强防范：

1. 加强人员安全防范意识，不要点击来历不明的链接、邮件附件及QQ文件等。

2. 及时修复系统及应用漏洞。

3. 定期更新系统及应用密码。

4. 下载并安装天融信EDR进行实时防护，可有效防御该类恶意攻击。

天融信EDR获取方式

· 天融信EDR企业版试用：可通过天融信各地分公司获取，查询网址：

http://www.topsec.com.cn/contact/

· 天融信EDR单机版下载地址：

http://edr.topsec.com.cn